Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.
+
+ 
+ 
+ 
+ In deze fase worden relevante datasets geïdentificeerd en wanneer nodig wordt nieuwe data verzameld. +In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. +Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. +Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. +De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.
+Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. +In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. +Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme. +Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.
+Met voorgaande handelingen wordt het fundament gelegd om het algoritme te kunnen ontwikkelen. +In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. +Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+In deze fase wordt het algoritme in de praktijk gebracht en duurzaam geïntegreerd in het bedrijfsproces. +In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. +In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. +Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme. +Niet alleen de prestaties van het algoritme worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. +Na deze pilot wordt onderzocht in hoeverre het algoritme presteert conform wens en verwachting. +Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.
+Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme moeten worden geïnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme. +Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. +Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme. +Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme tot stand. +Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is geïmplementeerd.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+De levenscyclus helpt je te bepalen wat je wanneer moet doen. Hoe ziet dit eruit in een plaatje? En waarom 8 fasen?
+Fase 0: Organisatieverantwoordelijkheden
+Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen.
+In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven.
+In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht.
+Fase 3: Dataverkenning en datapreparatie
+Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam.
+Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam.
+Fase 5: Verificatie en validatie
+Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen.
+In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam geïntegreerd in het bedrijfsproces.
+Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers.
+Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd.
+Het algoritme wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. +Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. +Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). +Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. +Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme.
+Het is van belang dat beheer wordt uitgevoerd over het algoritme, zodat de (gehele) oplossing operationeel blijft. +Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. +Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+In de ontwerpfase wordt het conceptuele ontwerp van het algoritme uitgedacht. +Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. +In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.
+Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme. +Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. +Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.
+Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. +In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. +Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.
+Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme. +Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk geëvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. +Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme voldoet aan bijvoorbeeld het vereiste van non-discriminatie.
+Nadat een besluit is genomen over het definitieve ontwerp van het algoritme, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. +Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Dit is de fase waarin het algoritme wordt ontwikkeld door het ontwikkelteam. +Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. +Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.
+Het algoritme technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. +Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. +Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme functioneert) van een machine learning model of algoritme. +Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. +Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.
+In deze fase is niet alleen het ontwikkelen van een algoritme, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. +Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. +In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. +Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Om algoritmes op een verantwoorde manier te gebruiken, zul je op de juiste momenten aandacht moeten hebben voor de juiste onderwerpen en risico's. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. Door al in een vroeg stadium aandacht besteden aan bijvoorbeeld een eventuele inbreuk op mensenrechten kan je hier gedurende het hele proces al rekening mee houden. De levenscyclus helpt je om te bepalen wat je wanneer moet doen.
+De levenscyclus kent 2 verschillende niveau's:
+ flowchart TD
+ subgraph organisatieniveau [organisatieniveau                                                                           ]
+ 0(0. Organisatieverantwoordelijkheden) --> 1(1. Probleemanalyse);
+ subgraph systeemniveau [systeemniveau                                                                     ]
+ 7(7. Monitoring en beheer) --> 1(1. Probleemanalyse);
+ 1(1. Probleemanalyse) --> 2(2. Ontwerp);
+ 2(2. Ontwerp) --> 3(3. Dataverkenning en datapreparatie);
+ 3(3. Dataverkenning en datapreparatie) --> 4(4. Ontwikkelen);
+ 4(4. Ontwikkelen) --> 5(5. Verificatie en validatie);
+ 5(5. Verificatie en validatie) --> 6(6. Implementatie);
+ 6(6. Implementatie) --> 7(7. Monitoring en beheer);
+ 7(7. Monitoring en beheer) -.-> 8(8. Uitfaseren);
+ end
+ end
+ click 0 href "organisatieverantwoordelijkheden"
+ click 1 href "probleemanalyse"
+ click 2 href "ontwerp"
+ click 3 href "dataverkenning-en-datapreparatie"
+ click 4 href "ontwikkelen"
+ click 5 href "verificatie-en-validatie"
+ click 6 href "implementatie"
+ click 7 href "monitoring-en-beheer"
+ click 8 href "uitfaseren"
+ style 0 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 1 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 2 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 3 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 4 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 5 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 6 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 7 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style 8 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;
+ style organisatieniveau fill:transparantTip
+In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.
+De 9 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:
+Deze 9 fasen passen zo goed mogelijk bij de manier van werken van overheden. +Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.
+ + + + + + + + + + + + + + + + + + + + + + + + +In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. +Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. +In deze fase wordt onderzocht of het ontwikkelen van een algoritme een geschikt middel is om het doel te realiseren en het probleem op te lossen. +Dat hangt van verschillende zaken af.
+Hierbij kan worden gedacht aan de middelen (capaciteit en financiële middelen) die nodig zijn om algoritmen op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. +Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme een organisatie te raadplegen.
+Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme passend is. +Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme te ontwikkelen. +Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.
+| id | Vereisten |
|---|---|
| aia-01 | Verboden AI-systemen mogen niet worden gebruikt. |
| avg-01 | Persoonsgegevens worden op een rechtmatige manier verwerkt |
| grw-01 | Algoritmes schenden geen grondrechten of mensenrechten |
Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Als wordt besloten dat het algoritme niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. +Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.
+Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. +Het gaat daarbij ook om informatie over het algoritme, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. +Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme van belang. +Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.
+Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. +Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. +Er moet worden vastgesteld welke versies van een model moet gearchiveerd.
+Bij uitfaseren wordt het algoritme verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. +Het algoritme is hiermee niet meer te gebruiken door gebruikers. +Gebruikers moeten hier vooraf over worden geïnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen geïnformeerd over het beëindigen van het gebruik.
+| id | Maatregelen |
|---|
Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Bij de verificatie en validatie van het algoritme dient bepaald te worden of het algoritme gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. +Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.
+Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. +Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. +Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.
+Bij het valideren van een algoritme moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. +Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. +Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. +Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. +Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. +In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.
+In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. +Het is ook denkbaar dat het algoritme onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt beëindigd. +Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. +Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. +In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. +We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.
+Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. +Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.
+Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. +Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. +Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. +Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. +Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.
+Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potentiële risico’s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.
+De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.
+Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:
+++Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
+
De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. +De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes kunnen hebben.
+Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. +Omdat niet één van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. +De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. +Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. +We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. +Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. +Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.
+Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1
+Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.
+++De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.
+De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.
+
Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. +Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. +Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. +Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.
+Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes. +Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. +In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.
+Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. +Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. +Bias vormt daarmee een risico op discriminatie.
+In de context van algoritmes wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 +In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). +Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. +Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.
+Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 +Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes. +Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).
+In de context van algoritmes kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. +Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. +Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. +Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).
+We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. +Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. +Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. +Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. +Een veel voorkomend voorbeeld van systemische bias is historische bias.
+Menselijke bias omvat systematische fouten in het menselijk denken. +Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. +In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. +Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)
+Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.
+| Term of begrip | +Definitie | +Bron | +
|---|---|---|
| direct onderscheid | +indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat | +Algemene wet gelijke behandeling | +
| indirect onderscheid | +indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. | +Algemene wet gelijke behandeling | +
| discriminatie | +mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. | +College voor de rechten van de mens | +
| directe discriminatie | +de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). | +College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader | +
| indirecte discriminatie | +wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. | +College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader | +
| algoritmische fairness | +het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid | +The fairness handbook | +
| ground truth (NL vertaling?) | +waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 | +NEN-EN-ISO/IEC 22989:2023 en 4 | +
| etnisch profileren | +Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. | +College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader | +
| discriminatiegrond | +Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte | +College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader | +
| risicoprofiel | +Een verzameling van één of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. | +College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader | +
| groep | +deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. | +ISO/IEC TR 24027:2021 en 4 | +
Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.
+| Begrip | +Definitie | +Bron | +
|---|---|---|
| automatiseringsbias | +de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is | +ISO/IEC TR 24027:2021 en 4 | +
| data bias | +dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen | +ISO/IEC TR 24027:2021 en 4 | +
| statistische bias | +soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen | +ISO/IEC TR 24027:2021 en 4 | +
| historische bias | +verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| activiteitenbias | +een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| versterkingsbias | +ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| cognitieve bias | +een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen geïdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| bevestigingsbias | +soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen | +ISO/IEC TR 24027:2021 en 4 | +
| implementatie bias | +ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| evaluatie bias | +ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| meetbias | +ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt geïntroduceerd die leidt tot differentiële prestaties. | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
| representatie bias | +ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor één populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie | +NIST, Towards a Standard for identifying and managing bias in artificial intelligence | +
De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.
+De Grondwet stelt dat discriminatie wegens:
+niet is toegestaan.
+De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:
+Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.
+Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:
+Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:
+is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.
+Disclaimer
+Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
+| Hulpmiddelen |
|---|
| The Fairness Handbook |
| Handreiking non-discriminatie by design |
| Discriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader |
Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet. ↩↩↩↩↩
+Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten. ↩↩↩↩↩↩↩↩
+De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen. ↩
+Overheden moeten verantwoord omgaan met de data die hun algoritmes gebruiken. De data moet voldoen aan regels voor bijvoorbeeld privacy. De kwaliteit van de data moet goed zijn. En overheden moeten deze gegevens goed beheren. Anders is het algoritme niet betrouwbaar.
+Verantwoord datagebruik betekent:
+Net als organisaties mogen algoritmes niet zomaar gegevens verzamelen en gebruiken. Dit moet rechtmatig gebeuren: volgens de wettelijke regels. Zo moet je rekening houden met auteursrechten. Ook vóórdat het algoritme in gebruik is, moet je rechtmatig omgaan met data. Dus tijdens het trainen, valideren en testen.
+Andere belangrijke regels gaan over privacy. Zo mag je algoritme alleen de minimale persoonsgegevens gebruiken die nodig zijn om het doel te bereiken. Technieken om dit te doen zijn:
+Hoe slechter de datakwaliteit, hoe onbetrouwbaarder de uitkomsten van je algoritme.
+Je bepaalt en controleert zelf de kwaliteit van je dataset. Check bijvoorbeeld of alle gegevens juist, compleet en actueel zijn. En herken bias in je data.
+Goed databeheer betekent dat je organisatie duidelijke afspraken maakt over het:
+Leg de processen en afspraken hierover vast in de datagovernance van je organisatie. In een datamanagementstrategie beschrijf je hoe je organisatie data verzamelt, ordent en gebruikt. Zo kan je organisatie optimaal gebruikmaken van data.
+Hoe goed je organisatie data beheert, check je met datavolwassenheidsmodellen uit de Toolbox verantwoord datagebruik van de Interbestuurlijke Datastrategie (IBDS). Of gebruik de beslishulp datavolwassenheid.
+Algoritmes kunnen veel schade veroorzaken in de maatschappij als ze de verkeerde gegevens gebruiken.
+Met verantwoord datagebruik voorkom je:
+Overheden moeten duurzaam werken met hun ICT, zoals algoritmes. Dit betekent dat je algoritmes inkoopt, ontwikkelt en gebruikt op een manier die vriendelijk is voor mens en milieu.
+Je werkt duurzaam met algoritmes als je tijdens de hele levenscyclus keuzes maakt die passen bij de duurzame en sociale doelen van de overheid:
+Om bij te dragen aan deze doelen, kies je bijvoorbeeld voor:
+Algoritmes kunnen veel impact hebben op het milieu. De rekenkracht die algoritmes nodig hebben op computers kost elektriciteit. En de datacenters die nodig zijn voor het opslaan van data, verbruiken veel energie, water en grondstoffen. +Vooral complexe AI-systemen zoals Large Language Models (LLM’s) verbruiken veel energie door training en gebruik en door opslag van grote datasets in datacenters.
+| id | Vereisten |
|---|
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Als overheid moet je de grondrechten van burgers beschermen. Dit geldt ook als je algoritmes gebruikt voor publieke taken.
+Dit betekent dat je tijdens het ontwikkelen en gebruiken van algoritmes rekening houdt met de fundamentele rechten van de mens:
+Algoritmes kunnen grondrechten schenden. Een bekend probleem is bias in algoritmes. Hierdoor worden resultaten onbetrouwbaar en kun je mensen ongelijk behandelen.
+Belangrijke grondrechten die vaak worden geraakt door algoritmen zijn bijvoorbeeld:
+Als overheid moet je hier goed op letten. Doe dit zo vroeg mogelijk in de levenscyclus. De maatregelen die we adviseren, beginnen al bij het ontwerpen en trainen van algoritmes.
+Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Zorg voor effectieve governance van je algoritmes. Dit is het beleid van je organisatie voor het verantwoordelijk omgaan met algoritmes en AI-systemen. Leg bijvoorbeeld vast wie waarvoor verantwoordelijk is.
+Algoritme-governance is de manier waarop je organisatie omgaat met algoritmes en AI-systemen. Je maakt duidelijke afspraken over processen, regels en verantwoordelijkheden.
+Deze afspraken maak je op 2 niveaus:
+Hoe de organisatie met algoritmes in het algemeen omgaat, bijvoorbeeld:
+Dit zijn afspraken over het beheer van de algoritmes zelf, bijvoorbeeld:
+Zonder governance verlies je grip op het inkopen, ontwikkelen, gebruiken en uitfaseren van algoritmes en AI. Dit vergroot het risico op overtredingen van wetten en regels zoals de AI-verordening, Grondwet, Algemene Verordening Gegevensbescherming (AVG) en Auteurswet.
+Goede governance van algoritmes helpt bij het:
+Algoritme-governance bepaal je zelf als organisatie.
+Houd in elk geval rekening met:
+++[!TIP] +Zorg dat iemand verantwoordelijk is voor algoritme-governance. En betrek stakeholders.
+
| Hulpmiddelen |
|---|
| Onderzoekskader algoritmes Auditdienst Rijk 2023 |
| Toetsingskader Algoritmes Algemene Rekenkamer |
Hulp bij het voorkomen van bias en discriminatie in algoritmes. Met aanbevelingen en hulpmiddelen zoals het toetsingskader van het College voor de Rechten van de Mens.
+Hulp bij het verantwoord selecteren en verwerken van data voor je algoritmes. Gebruik bijvoorbeeld de toolbox verantwoord datagebruik.
+Hulp bij het maken van duurzame keuzes voor hardware en software. Bijvoorbeeld voor de aanschaf van apparaten of het energieverbruik van trainen en data-opslag.
+Hulp bij het verantwoordelijk omgaan met algoritmes. Bijvoorbeeld het vastleggen van rollen en verantwoordelijkheden.
+Hulp bij het beschermen van grondrechten en mensenrechten in algoritmes. Bijvoorbeeld het beoordelen van de gevolgen per grondrecht.
+Hulp bij de controle als mens over algoritmes. Bijvoorbeeld kunnen ingrijpen bij onbetrouwbare resultaten.
+Privacy en gegevensbescherming
+Hulp bij verantwoord gebruik van gegevens voor algoritmes, zoals persoonsgegevens en privacygevoelige gegevens.
+Hulp bij het publiek inkopen van software met algoritmen en AI. Met hulpmiddelen zoals modelcontracten en de PIANOo-handreiking Inkoop van algoritmes.
+Technische robuustheid en veiligheid
+Hulp bij het bewaken van de prestaties van algoritmes. En beveiliging van de systemen tegen bijvoorbeeld cyberaanvallen.
+Hulp bij transparant zijn over algoritmes, zoals gebruikers informeren en publiceren in het algoritmeregister.
+Algoritmes van de overheid moeten onder controle blijven van mensen. Presteert het algoritme niet goed, dan moet een mens dit kunnen aanpassen of stoppen.
+Menselijke controle over een algoritme of AI-systeem betekent dat mensen invloed hebben op de uitkomsten. Mensen moeten het ontwerp van het algoritme kunnen aanpassen. En mensen moeten het algoritme kunnen stoppen. Zo kun je op tijd ingrijpen als er iets fout gaat.
+Algoritmes kunnen schade veroorzaken in de maatschappij. Gebruik je een algoritme voor een publieke taak, dan moet je dit continu op een of andere manier controleren.
+Tijdens het ontwerp van een algoritme of AI-systeem controleer je bijvoorbeeld of het algoritme op de juiste manier ‘getraind’ wordt. Maakt het bijvoorbeeld gebruik van een goede dataset, zonder bias, die representatief is voor de samenleving? En je controleert of het algoritme bepaalde groepen niet benadeelt.
+Voordat je een algoritme gaat gebruiken, is het belangrijk om het doel te bepalen.
+Tijdens het gebruik van een algoritme is menselijke controle belangrijk omdat de werking verandert in de loop der tijd:
+Er is maatschappelijke consensus dat alleen natuurlijke personen in staat zijn om een goede (ethische) afweging te maken over wanneer en welke controle nodig is. Menselijke controle kan je dus niet automatiseren. Mensen mogen zich hierbij wel laten helpen door computers of andere technologie.
+Je kunt op verschillende manieren controle houden over de prestaties van een algoritme:
+Wanneer en hoe je controle uitoefent, hangt af van het soort algoritme en risico, de levenscyclusfase van je project en je expertise.
+Bepaal in elk geval zo vroeg mogelijk wie in welke levenscyclusfase verantwoordelijk is voor menselijke controle. En beschrijf dit in een RACI-matrix of VERI-matrix. Want menselijke controle is nodig in verschillende fases, door verschillende mensen. Er is nooit 1 persoon verantwoordelijk voor de totale controle.
+Tijdens het gebruik kun je menselijke controle op de volgende manieren uitoefenen:
+Na het bepalen van de manier van controleren, bepaal je de manier waarop je feedback krijgt over het algoritme: Wat voor soort informatie moet bij wie terechtkomen? Aan wie moet een gebruiker bijvoorbeeld rapporteren dat het AI-systeem niet meer goed werkt?
+| Hulpmiddelen |
|---|
| Assessment List for Trustworthy Artificial Intelligence (ALTAI) |
| Framework for Meaningful Engagement |
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te creëren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.
+Bij het gebruik van algoritmes is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologieën variëren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico’s. +Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico’s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.
+Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. +Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.
+Het bouwblok privacy en gegevensbescherming van algoritmes wordt ook geïntegreerd in de algoritmelevenscyclus. +Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmes moeten worden toegepast. +Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden geïmplementeerd.
+| Hulpmiddelen |
|---|
| Assessment List for Trustworthy Artificial Intelligence (ALTAI) |
| Data Protection Impact Assessment |
Algoritmes die de overheid inkoopt bij leveranciers, moeten voldoen aan strenge eisen. Het inkoopproces speelt een belangrijke rol bij het in goede banen leiden van alle belangen. Begin met een uitgebreide behoeftestelling. En werk goed samen met de leverancier.
+Overheidsorganisaties kunnen een behoefte hebben om hun taken beter uit te gaan voeren en om daar algoritmes voor in te zetten. Het ontwikkelen van algoritmes wordt soms door de overheid zelf gedaan waar dat nodig is. In veel gevallen wordt ervoor gekozen om algoritmes te gaan gebruiken die worden ontwikkelt door leveranciers die hierin gespecialiseerd zijn.
+Het inkoopproces moet eraan bijdragen dat uiteindelijk een contract wordt gesloten met een leverancier die het best in staat is om invulling te geven aan deze ‘overheidsopdracht’. Het is van belang dat in het inkoopproces duidelijk wordt gemaakt aan welke voorwaarden moet worden voldaan door leveranciers. Net als voor privacy en informatiebeveiliging, zullen de vereisten specifiek voor algoritmes ook een plek moeten krijgen in het inkoopproces.
+Het inkoopproces neemt een bijzondere positie in om tot een verantwoorde inzet van algoritmes te komen door overheidsorganisaties. Met een gedegen inkoopproces kunnen mogelijke negatieve effecten van algoritmes voor een belangrijk deel al op voorhand worden voorkomen. Dit wordt gedaan door een leverancier te selecteren die voldoet aan de wensen en vereisten die aan deze algoritmes moeten worden gesteld en door hier nadere afspraken mee te maken.
+Het is daarom van belang dat de wensen en vereisten goed in beeld worden gebracht. En dat bijvoorbeeld een inkoopadviseur deze wensen en vereisten een plek geeft in een aanbesteding, zodat je bij de meest geschikte leverancier uitkomt. Dit geldt ook voor onderhandse gunningen.
+Het publiek inkopen van algoritmes biedt naast het voldoen aan vereisten, een waardevolle kans om nadere invulling te geven aan publieke waarden die worden nagestreefd door overheidsorganisaties.
+Afhankelijk van de behoeftestelling, moet worden beoordeeld aan welke vereiste de benodigde algoritmes van leveranciers moet voldoen en hoe deze betekenisvol kunnen worden geadresseerd. Het is raadzaam om deze beoordeling met een multidisciplinair team te doen.
+Beantwoord in elk geval de volgende vragen:
+Een inkoper heeft een belangrijke rol om antwoorden op deze vragen te verzamelen en om dit te vertalen naar sleutelmomenten binnen het inkoopproces.
+Nadat de behoefstelling is beeld is gebracht, is het van belang om te verkennen welke oplossingen in de markt beschikbaar zijn. Dat kan worden gedaan met bijvoorbeeld een marktconsultatie en door met leveranciers in gesprek te gaan. Dit kan waardevolle inzichten opleveren om het inkoopproces verder mee vorm te gaan geven.
+Het multidisciplinaire inkoopteam zal vervolgens de behoeftestelling moeten gaan specificeren. Daar kan op verschillende manieren. Hier kan worden gedacht aan:
+Als leveranciers, bijvoorbeeld bij een aanbesteding, hun inschrijving hebben ingediend, moet worden beoordeeld welke leverancier het best aansluit bij de opdracht.
+Stel een beoordelingsteam samen waarin voldoende kennis over algoritmes aanwezig is.
+Er wordt vervolgens een leverancier geselecteerd waarmee een contract wordt opgesteld. Het is van belang dat goed wordt nagedacht hoe het contractbeheer wordt vormgegeven en welke verantwoordelijkheden er blijven bestaan voor de opdrachtnemen.
+Afhankelijk van de behoeftestelling en het benodigde algoritme, moet worden bepaald welke vereisten hierop van toepassing zijn. Voor zover het gaat om de AI-systemen waarop de AI-Verordening van toepassing is, kan de beslishulp AI-verordening worden geraadpleegd.
+| Hulpmiddelen |
|---|
| Inkoopvoorwaarden |
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Algoritmes van de overheid moeten robuust en veilig zijn. Dit betekent dat je algoritmes in elke situatie goed presteren, ook als er iets onverwachts gebeurt. Gaat er toch iets mis, dan is er een noodplan.
+Een technisch robuust en veilig algoritme presteert onder elke omstandigheid zoals het bedoeld is.
+Een robuust algoritme is:
+Een algoritme is veilig onder deze omstandigheden:
+Algoritmes kunnen grote schade veroorzaken aan de maatschappij. Met een technisch robuust en goed beveiligd algoritme voorkom je:
+Gebruik een algoritme alleen voor het juiste doel en op de juiste manier. Dit is de manier die is getest en gecontroleerd. Wanneer je het algoritme gebruikt voor een ander doel of in een verkeerde context, zijn de resultaten niet meer betrouwbaar.
+Voorkom dat medewerkers op de verkeerde manier werken met het algoritme. Zij moeten weten wat het algoritme wel en niet kan. En wat ze moeten doen als het algoritme fouten maakt of niet goed werkt. Denk aan technische en organisatorische ondersteuning:
+Begin zo vroeg mogelijk met regelmatige controles van de uitkomst en werking van het algoritme. In de praktijk verandert de omgeving en de situatie waarin het algoritme wordt gebruikt. Controleer daarom regelmatig of het algoritme nog werkt zoals het is bedoeld.
+Een algoritme leest kentekens tijdens parkeercontroles. Het herkent de juiste letters en cijfers op elk kenteken. Ook als het bord een andere kleur heeft, op een andere plek zit of vies is. Het algoritme is nauwkeurig en dus robuust.
+Een algoritme berekent het risico op fraude door mensen. Maar bij personen uit dezelfde groep geeft het algoritme de ene keer als uitkomst ‘hoog risico’ en de andere keer ‘geen risico’. De uitkomst is niet reproduceerbaar. Hierdoor is het algoritme niet robuust.
+Bereid de controles voor tijdens de levenscyclusfases probleemanalyse, ontwerp en dataverkenning en datapreparatie. Onderzoek de situatie waarin je organisatie het algoritme gaat gebruiken: Wat zijn de risico’s? Welke onderdelen van het algoritme moet je evalueren? Analyseer de kwaliteit en variatie van de data. Bedenk maatregelen waarmee je de risico’s zoveel mogelijk voorkomt. En bedenk met welke methode je de controles gaat evalueren.
+Ontwikkel je het algoritme zelf, controleer dan tijdens de ontwikkeling al wat er gebeurt in de verschillende situaties die je verwacht. Experimenteer met nieuwe combinaties van de inputdata en gebruik verschillende representatieve test-sets.
+Voer de controles uit tijdens de ontwikkelfase en de verificatie- en validatiefase. Test het algoritme goed. Evalueer hoe robuust en veilig het algoritme is. Verbeter het algoritme waar nodig. En monitor goed welke data het algoritme gebruikt, zodat je veranderingen in die data snel signaleert. Maak een noodplan voor als blijkt dat het algoritme niet meer werkt zoals het bedoeld was.
+Blijf regelmatig controleren tijdens de fases implementatie en monitoring en beheer. Dit zijn de fases waarin je het algoritme gebruikt. Presteert het algoritme niet goed, los het probleem dan op of stop het gebruik.
+++[!TIP] +Houd rekening met concept drift. Dit betekent dat de eigenschappen van je data in de loop van de tijd kunnen veranderen. Hierdoor trekt je algoritme mogelijk verkeerde conclusies. Zo was er vóór 2020 een verband tussen thuiswerken en ziek zijn. Maar sinds de coronacrisis in 2020 is dit verband minder sterk, omdat gezonde mensen vaker thuiswerken.
+
Beveilig het ICT-systeem waarin het algoritme wordt gebruikt. Dit zijn bijvoorbeeld maatregelen uit de Baseline Informatiebeveiliging Overheid (BIO) die je standaard neemt voor beveiliging van ICT-systemen tegen cyberaanvallen.
+Beveilig de algoritmes zelf tegen cybercriminelen. Belangrijke bedreigingen voor algoritmes zijn:
+Lees meer in het TNO-rapport Verkenning van het raakvlak cybersecurity en AI.
+Aandachtspunten voor het beschermen van algoritmes tegen specifieke dreigingen:
+Hiermee voorkom je:
+Begin zo vroeg mogelijk met beveiligen. Beveilig in elk geval in de fases ontwikkelen, verificatie en validatie, implementatie, monitoring en beheer en uitfaseren.
+Veroorzaak zo min mogelijk schade als het toch fout gaat. En maak een noodplan voor incidenten. Het doel van dit plan is ervoor zorgen dat de fout zo min mogelijk gevolgen heeft voor de organisatie en de maatschappij. In het plan staat bijvoorbeeld wie wat moet doen als het systeem uitvalt.
+| Hulpmiddelen |
|---|
| Assessment List for Trustworthy Artificial Intelligence (ALTAI) |
| Baseline Informatiebeveiliging Overheid (BIO) |
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Overheden moeten transparant zijn over hun algoritmes. Dit betekent dat je duidelijke informatie geeft over de algoritmes die je ontwikkelt of gebruikt.
+Je draagt bij aan transparantie over algoritmes als je duidelijk uitlegt:
+Als je open bent over de algoritmes die je ontwikkelt of gebruikt, kunnen burgers en bedrijven zich beter verdedigen tegen mogelijke nadelige gevolgen. Verkeerd gebruik van algoritmes kan iemands leven namelijk ernstig beïnvloeden. Bijvoorbeeld door discriminatie of een besluit dat niet klopt.
+Door uit te leggen hoe het algoritme werkt, kun je de beslissingen van het algoritme makkelijker controleren. Je leert sneller waarom het bepaalde keuzes maakt en waar de zwakke plekken zitten.
+Ook je organisatie is makkelijker te controleren. Omdat je transparant bent over algoritmes, kunnen burgers feedback geven. Journalisten zien wat je doet. En andere overheden kunnen hiervan leren.
+Hoe je transparantie organiseert, hangt af van:
+Onderzoek goed welk soort algoritme je gebruikt of wil gebruiken. Hoe groter de impact en het risico, hoe strenger de vereisten.
+De keuze voor het soort algoritme bepaalt ook hoe transparant je kunt zijn. Van rekenregels kun je namelijk precies uitleggen hoe deze tot een beslissing komen. Maar complexe AI-systemen zijn vaak een black box: niemand weet precies hoe deze systemen beslissingen maken. Volledige transparantie is dan niet mogelijk. In dat geval moet je de werking zo goed mogelijk onderzoeken. Probeer bijvoorbeeld in elk geval ernstige gevolgen zoals discriminatie te voorkomen.
+Tip
+Rekenregels zijn makkelijker uit te leggen dan AI-systemen. Als een rekenregel voldoende is voor het bereiken van je doel, dan is het ook makkelijker om transparant te zijn.
+Stem je informatie af op de betrokken partij. Zo moeten gebruikers de uitkomst van het algoritme voldoende begrijpen voor het nemen van onderbouwde beslissingen. En belanghebbenden zoals burgers moeten weten dat zij te maken hebben met een algoritme. Zij moeten snel en makkelijk kunnen vinden wat hun rechten zijn en hoe zij in beroep kunnen gaan.
+| Doelgroep | +Informeer bijvoorbeeld over | +Geef de informatie bijvoorbeeld via: | +
|---|---|---|
| Ontwikkelaar | +de werking, keuzes van het ontwikkelteam | +technische documentatie | +
| Gebruiker | +hoe uitkomsten tot stand komen, gebruikte data, wat het algoritme wel en niet kan | +gebruiksinstructies, trainingen | +
| Medewerker | +contactpersonen, algoritmegebruik binnen de organisatie, afspraken over algoritmemanagement (ook wel: algoritmegovernance) | +intern algoritmeregister, trainingen | +
| Belanghebbende (iemand voor wie het algoritme gevolgen heeft) | +hoe een besluit tot stand kwam, mogelijkheden om bezwaar te maken, contactmogelijkheden | +brief over het besluit, webpagina over het algoritme | +
| Geïnteresseerde burger | +algoritmegebruik binnen de organisatie | +webpagina over het algoritme, algoritmeregister | +
| Auditor | +werking, ontwikkelproces, keuzes van het ontwikkelteam, hoe uitkomsten tot stand komen | +algoritmeregister, technische documentatie, programmeercode | +
| Onderzoeker of journalist | +algoritmegebruik binnen de organisatie | +algoritmeregister, technische documentatie, code | +
| Hulpmiddelen |
|---|
| Assessment List for Trustworthy Artificial Intelligence (ALTAI) |
| Impact Assessment Mensenrechten en Algoritmes |
| Algoritmeregister |
| Framework for Meaningful Engagement |
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! ❤️
+We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader.
+Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert.
+Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen.
+We kijken uit naar alle bijdragen! 🎉
++Opmerking
+Werken in Github is voor het team Algoritmekader nieuw en experimenteel. +Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. +Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. +Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. +We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). +Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden één voor één opgepakt. +Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.
+
Dit project en iedereen die eraan deelneemt, valt onder de +Code of Conduct. +Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag +aan algoritmes@minbzk.nl.
+Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.
+Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.
+question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.
+Er zijn verschillende manieren waarop je kan bijdragen. Zie hieronder de mogelijkheden.
+++Ter kennisgeving
+Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.
+
Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op één van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.
+Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.
+Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.
+Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.
+Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.
+bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.
+Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.
+Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.
+enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.++Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
+
Kun je niet uit de voeten met de issues? +Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.
+Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.
+++Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
+Preview van een pull-request
+We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. +Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. +Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.
+
We werken met Markdown bestanden. +Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.
+Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.
+In het mkdocs.yml bestand staan de settings voor deze website. +In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. +Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. +Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.
+ + + + + + + + + + + + + + + + + + + + + + + + +| Begrip | +Definitie | +
|---|---|
| aanbieder | +Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling. | +
| aanbieder verder in de AI-waardeketen | +Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is geïntegreerd, ongeacht of het AI-model door hemzelf wordt verstrekt en verticaal geïntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen | +
| aangemelde instantie | +Een conformiteitsbeoordelingsinstantie die overeenkomstig de AI-verordening en andere relevante harmonisatiewetgeving van de Unie is aangemeld | +
| aanmeldende autoriteit | +De nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan | +
| AI-bureau | +De taak van de Commissie waarbij zij bijdraagt aan de uitvoering van, de monitoring van en het toezicht op AI-systemen en AI-modellen voor algemene doeleinden, en AI-governance, als bepaald in het besluit van de Commissie van 24 januari 2024; verwijzingen in deze verordening naar het AI-bureau worden begrepen als verwijzingen naar de Commissie | +
| AI-geletterdheid | +Vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen, rekening houdend met hun respectieve rechten en plichten in het kader van de de AI-verordening, in staat stellen met kennis van zaken AI-systemen in te zetten en zich bewuster te worden van de kansen en risico’s van AI en de mogelijke schade die zij kan veroorzaken | +
| AI-model voor algemene doeleinden | +Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden geïntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. | +
| AI-systeem | +een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen; | +
| AI-systeem voor algemene doeleinden | +Een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen | +
| AI-testomgeving voor regelgeving | +Een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI-systemen de mogelijkheid biedt een innovatief AI-systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder reële omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder. | +
| algoritme | +Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden | +
| auteursrecht | +Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. | +
| AVG | +Algemene Verordening Gegevensbescherming | +
| Awb | +Algemene wet bestuursrecht | +
| beoogd doel | +Het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt | +
| Besluit (Awb) | +Een schriftelijke beslissing van een bestuursorgaan, inhoudende een publiekrechtelijke rechtshandeling | +
| bijzondere categorieën persoonsgegevens | +De categorieën persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725 | +
| biometrische gegevens | +Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon, zoals gezichtsafbeeldingen of vingerafdrukgegevens | +
| biometrische identificatie | +De geautomatiseerde herkenning van fysieke, fysiologische, gedragsgerelateerde of psychologische menselijke kenmerken om de identiteit van een natuurlijk persoon vast te stellen door biometrische gegevens van die persoon te vergelijken met in een databank opgeslagen biometrische gegevens van personen | +
| biometrische verificatie | +De geautomatiseerde één-op-éénverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens | +
| capaciteiten met een grote impact | +Capaciteiten die overeenkomen met of groter zijn dan de capaciteiten die worden opgetekend bij de meest geavanceerde AI-modellen voor algemene doeleinden. | +
| CE-markering | +Een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van hoofdstuk III, afdeling 2, van de AI-Verordening en andere toepasselijke harmonisatiewetgeving van de Unie, die in het aanbrengen ervan voorzien | +
| conformiteitsbeoordeling | +Het proces waarbij de naleving wordt aangetoond van de voorschriften van hoofdstuk III, afdeling 2 van de AI-Verordening in verband met een AI-systeem met een hoog risico | +
| deepfake | +Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien | +
| direct onderscheid | +Indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat; | +
| directe discriminatie | +De ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). | +
| discriminatiegrond | +Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte. | +
| distributeur | +Een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt | +
| downstreamaanbieder | +Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is geïntegreerd, ongeacht of het model door hemzelf wordt verstrekt en verticaal geïntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen | +
| etnisch profileren | +Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat | +
| geharmoniseerde norm | +Een geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1,punt c), van Verordening (EU) nr. 1025/2012 | +
| gemeenschappelijke specificatie | +een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in de AI-verordening | +
| gebruiksinstructies | +de door de aanbieder verstrekte informatie om de gebruiksverantwoordelijke te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem | +
| gebruiksverantwoordelijke | +Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet- beroepsactiviteit. | +
| geharmoniseerde norm | +Een Europese norm die op verzoek van de Commissie is vastgesteld met het oog op de toepassing van harmonisatiewetgeving van de Unie | +
| geïnformeerde toestemming | +De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder reële omstandigheden, na geïnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing om deel te nemen | +
| gemachtigde | +Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een schriftelijke machtiging heeft gekregen en aanvaard van een aanbieder van een AI-systeem of een AI-model voor algemene doeleinden om namens die aanbieder de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren; | +
| gemeenschappelijke specificatie | +Een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in deze verordening | +
| gevoelige operationele gegevens | +Operationele gegevens met betrekking tot activiteiten op het gebied van preventie, opsporing, onderzoek of vervolging van strafbare feiten waarvan de openbaarmaking de integriteit van strafprocedures in het gedrang zou kunnen brengen | +
| governance | +Governance gaat over de inrichting van een organisatie en daar bijbehorende processen, regels, gebruiken en bijbehorende verantwoordelijkheden | +
| importeur | +Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt | +
| in de handel brengen | +Het voor het eerst in de Unie op de markt aanbieden van een AI-systeem of een AI-model voor algemene doeleinden | +
| in gebruik stellen | +De directe levering van een AI-systeem door de aanbieder aan de gebruiksverantwoordelijke voor het eerste gebruik of voor eigen gebruik in de Unie voor het beoogde doel | +
| indirect onderscheid | +Indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat in vergelijking met andere personen bijzonder treft. | +
| indirecte discriminatie | +Wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. | +
| inputdata | +Data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verworven en op basis waarvan het systeem een output genereert | +
| kritieke infrastructuur | +Kritieke infrastructuur zoals gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2022/2557 | +
| legaliteitsbeginsel | +Het legaliteitsbeginsel houdt in dat alle overheidsoptreden moet berusten op een overeenstemmen met - kenbare en voldoende specifieke - algemene regels. | +
| markttoezichtautoriteit | +De nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020 | +
| nationale bevoegde autoriteit | +Een aanmeldende autoriteit of een de markttoezichtautoriteit; wat betreft AI-systemen die door instellingen, organen en instanties van de EU in gebruik worden gesteld of worden gebruikt, worden verwijzingen naar nationale bevoegde autoriteiten of markttoezichtautoriteiten in deze verordening begrepen als verwijzingen naar de Europese Toezichthouder voor gegevensbescherming | +
| norm | +Een norm is een vrijwillige afspraak tussen partijen over een product, dienst of proces. Normen zijn geen wetten, maar ’best practices’. Iedereen kan - op vrijwillige basis - hier zijn voordeel mee doen. In zakelijke overeenkomsten hebben normen een belangrijke functie. Ze bieden marktpartijen duidelijkheid over en vertrouwen in producten, diensten of organisaties en dagen de maatschappij uit te innoveren. NEN-normen worden ontwikkeld door inhoudsexperts en specialisten op het gebied van normontwikkeling. | +
| normalisatie | +Normalisatie is het proces om te komen tot een norm. Dit proces is open, transparant en gericht op consensus en vindt plaats in normcommissies die bestaan uit vertegenwoordigers van alle betrokken partijen. Dit gebeurt niet alleen op nationaal niveau, maar ook in Europees en mondiaal verband. | +
| objectieve rechtvaardiging | +Van een objectieve rechtvaardiging voor onderscheid is sprake wanneer onderscheid een legitiem doel nastreeft en er een redelijke relatie van evenredigheid bestaat tussen het gemaakte onderscheid en het nagestreefde doel. | +
| op de markt aanbieden | +Het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem of een AI-model voor algemene doeleinden met het oog op distributie of gebruik op de markt van de Unie | +
| operator | +Een aanbieder, productfabrikant, gebruiksverantwoordelijke, gemachtigde, importeur of distributeur | +
| prestaties van een AI-systeem | +Het vermogen van een AI-systeem om het beoogde doel te verwezenlijken | +
| plan voor testen onder reële omstandigheden | +Een document waarin de doelstellingen, methode, geografische reikwijdte, betrokken personen, duur, monitoring, organisatie en wijze van uitvoering van een test onder reële omstandigheden worden omschreven | +
| proceseigenaar | +De proceseigenaar is verantwoordelijk voor de kwaliteit van het proces en de vastlegging daarvan in een processchema | +
| proefpersoon | +In het kader van tests onder reële omstandigheden: een natuurlijk persoon die deelneemt aan een test onder reële omstandigheden | +
| profilering | +Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Het gaat om een verwerking door een individu met gebruikmaking van diens persoonsgegevens in te delen in een categorie (profiel), vaak in verband met aan dat profiel toegedichte risico's. | +
| publieke inkoop | +De verwerving van werken, leveringen of diensten door een overheid of publieke organisatie, van de markt of een andere externe instantie, terwijl zij tegelijkertijd publieke waarde creëren en waarborgen vanuit het perspectief van de eigen organisatie. | +
| rechtsgevolg | +Een verandering in het geheel van de rechten, aanspraken, bevoegdheden en verplichtingen van één of meer natuurlijke personen of rechtspersonen | +
| redelijkerwijs te voorzien misbruik | +Het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of redelijkerwijs te voorziene interactie met andere systemen, waaronder andere AI-systemen | +
| risico | +De combinatie van de kans op schade en de ernst van die schade; | +
| substantiële wijziging | +Een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die door de aanbieder niet is voorzien of gepland in de initiële conformiteitsbeoordeling en als gevolg waarvan de overeenstemming van het AI-systeem met de voorschriften van hoofdstuk III, afdeling 2, AI-Verordening wordt beïnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld | +
| systeem voor monitoring na het in de handel brengen | +Alle door aanbieders van AI-systemen verrichte activiteiten voor het verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik gestelde AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn | +
| systeem voor het herkennen van emoties | +Een AI-systeem dat is bedoeld voor het vaststellen of afleiden van de emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens | +
| systeem voor biometrische categorisering | +Een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorieën op basis van hun biometrische gegevens, tenzij dit een aanvulling vormt op een andere commerciële dienst en om objectieve technische redenen strikt noodzakelijk is | +
| systeem voor biometrische identificatie op afstand | +Een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen, zonder dat zij daar actief bij betrokken zijn en doorgaans van een afstand, door middel van vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank | +
| systeem voor biometrische identificatie op afstand in real time | +Een systeem voor biometrische identificatie op afstand, waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie zonder significante vertraging plaatsvinden, zowel wanneer de identificatie niet enkel onmiddellijk plaatsvindt, maar ook wanneer de identificatie met beperkte korte vertragingen plaatsvindt, om omzeiling te voorkomen | +
| systeem voor biometrische identificatie op afstand achteraf | +Een ander biometrisch systeem voor de identificatie op afstand dan een systeem voor biometrische identificatie op afstand in real time | +
| systeemrisico | +Een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleinden, die aanzienlijke gevolgen hebben voor de markt van de Unie vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid | +
| terugroepen van een AI-systeem | +Een maatregel gericht op het retourneren aan de aanbieder, het buiten gebruik stellen of het onbruikbaar maken van een AI-systeem dat aan gebruiksverantwoordelijken ter beschikking is gesteld | +
| testdata | +Data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld | +
| testomgevingsplan | +Tussen de deelnemende aanbieder en de bevoegde autoriteit overeengekomen document waarin de doelstellingen, de voorwaarden, het tijdschema, de methode en de vereisten voor de in de testomgeving uitgevoerde activiteiten worden beschreven | +
| testen onder reële omstandigheden | +Het tijdelijk testen van een AI-systeem voor zijn beoogde doel onder reële omstandigheden buiten een laboratorium of anderszins gesimuleerde omgeving teneinde betrouwbare en robuuste gegevens te verkrijgen, en te beoordelen en te verifiëren of het AI-systeem overeenstemt met de voorschriften van de AI-verordening en het wordt niet aangemerkt als het in de handel brengen of in gebruik stellen van het AI-systeem in de zin van de AI-verordening, mits aan alle in artikel 57 of 60 vastgestelde voorwaarden is voldaan | +
| toestemming met kennis van zaken | +De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder reële omstandigheden, na geïnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing deel te nemen | +
| trainingsdata | +Data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen | +
| uit de handel nemen van een AI-systeem | +Een maatregel waarmee wordt beoogd te voorkomen dat een AI-systeem dat zich in de toeleveringsketen bevindt, op de markt wordt aangeboden | +
| validatiedata | +Data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om underfitting of overfitting te voorkomen | +
| validatiedataset | +Een afzonderlijke dataset of deel van de trainingsdataset, als vaste of variabele opdeling. | +
| veiligheidscomponent | +Een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt | +
| verwerker | +Een .. rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. | +
| verwerkersverantwoordelijke | +Een rechtspersoon of overheidsinstantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt | +
| zwevendekommabewerking of “floating-point operation (FLOP) | +Elke wiskundige bewerking of toewijzing met zwevendekommagetallen, die een subset vormen van de reële getallen die gewoonlijk op computers worden gerepresenteerd door een geheel getal met een vaste precisie, geschaald door een gehele exponent van een vaste basis | +
Het soort algoritme bepaalt aan welke vereisten je moet voldoen. Werk je met simpele rekenregels of een AI-systeem?
+Je AI-systemen valt mogelijk onder een risicogroep uit de AI-verordening.
+Impactvolle algoritmes moet je registreren in het Algoritmeregister.
+Uitleg van begrippen die je vaak tegenkomt op deze website.
+Het Algoritmekader is een hulpmiddel voor overheden die algoritmes, waaronder AI (artificiële intelligentie), gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een bètaversie. De definitieve versie verschijnt eind 2024.
+In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes. Bijvoorbeeld:
+De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.
+Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:
+alle wetten en regels, zoals de AI-verordening en de Algemene wet bestuursrecht
+belangrijke hulpmiddelen, zoals de IAMA (Impact Assessment Mensenrechten en Algoritmes)
+Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.
+Sindsdien verschijnt elke maand een nieuwe bètaversie van het Algoritmekader. Deze bètaversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.
+Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.
+De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:
+Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.
+ + + + + + + + + + + + + + + + + + + + + + +Om te voldoen aan de vereisten, moet je weten met welk soort algoritme je werkt. Gaat het om simpele rekenregels of een AI-systeem? En wat voor impact hebben je algoritmes?
+Met een algoritme bedoelen we een set regels en instructies die een computer uitvoert, met 1 of meer van deze doelen:
+Rekenregels (ook wel: regelgebaseerde algoritmes) zijn de meest eenvoudige algoritmes. Dit zijn door mensen bedachte regels die het computersysteem precies moet opvolgen: als x gebeurt, dan doe je y.
+Rekenregels:
+Rekenregels zijn niet kunstmatig intelligent (AI). Rekenregels kunnen wel onderdeel zijn van een AI-systeem.
+Zelflerende algoritmes zijn algoritmes die zichzelf trainen. Dit proces heet machinelearning. Hierdoor worden computers intelligent zonder dat mensen dit precies zo programmeren. Dit is een veel voorkomende vorm van AI.
+Zelflerende technieken zijn in elk geval:
+Met een AI-systeem bedoelen we een systeem dat kunstmatig intelligent is volgens de Europese AI-verordening. Dit zijn in elk geval systemen die gebruik maken van:
+Tip
+Twijfel je of je algoritme onderdeel is van een AI-systeem? Raadpleeg een expert. Of beschouw het systeem voor de zekerheid als een AI-systeem.
+AI-systemen vallen mogelijk onder een van de risicogroepen uit de AI-verordening:
+ +Het hangt ervan af waarvoor je dit AI-systeem gebruikt.
+Impactvolle algoritmes moet je publiceren in het Algoritmeregister. Dat moet in elk geval in deze situaties:
+Een impactvol algoritme kan schade veroorzaken aan de maatschappij. Daarom zijn de regels strenger voor impactvolle dan voor niet-impactvolle algoritmes.
+Tip
+Twijfel je of je algoritme impactvol is of niet? Beschouw het algoritme dan als impactvol.
+Meer uitleg en voorbeelden vind je in de Handreiking Algoritmeregister.
+ + + + + + + + + + + + + + + + + + + + + + +Dit is degene die gaat over wat wenselijk is en adviseert bij de ontwikkeling en/of inzet van een algoritme. Hierbij horen rollen zoals de beleidsmedewerker, ethicus, CIO-adviseur, architect.
+Dit is degene die gaat over wat wenselijk is en adviseert bij de ontwikkeling en/of inzet van een algoritme. Hierbij horen rollen zoals de beleidsmedewerker, ethicus, CIO-adviseur, architect.
+Hier komt een tekstje.
+De Ontwikkelaar omvat alle technische expertise.
+De projectleider richt zich op het coördineren en aansturen van alle betrokken partijen en processen bij de ontwikkeling van algoritmes.
+(Hier komt nog tekst).
+De Ontwikkelaar omvat alle technische expertise. Dit zijn professionals die zich bezighouden met het analyseren, ontwikkelen, en implementeren van algoritmes en modellen. Dit zijn de specialisten die zorgen voor de technische kant van de algoritmeontwikkeling, inclusief programmeren, opschonen van data, data-analyse en het ontwerpen van informatieprocessen.
+Mensen met technische expertise spelen een cruciale rol bij het verantwoord ontwerpen en ontwikkelen van algoritmes. Zij zorgen ervoor dat algoritmes voldoen aan technische en ethische standaarden, en passen methodes toe om de duurzaamheid, eerlijkheid en transparantie van modellen te waarborgen. Technische experts zijn vaak ook verantwoordelijk voor het testen en optimaliseren van de algoritmes, en voor het implementeren van maatregelen om privacy en gegevensbescherming te waarborgen. In het Algoritmekader zijn er tal van vereisten, maatregelen en hulpmiddelen die specifiek relevant zijn voor technische experts.
+De projectleider richt zich op het coördineren en aansturen van alle betrokken partijen en processen bij de ontwikkeling van algoritmes. Projectleiders zorgen ervoor dat projecten door de verschillende fasen van de levenscyclus van algoritmes worden geleid, van probleemanalyse tot monitoring & beheer, of zelfs uitfasering.
+Projectmanagement binnen het Algoritmekader betekent het verbinden van benodigde expertises en het waarborgen dat alle stappen van het ontwikkelproces verantwoord en volgens de gestelde kaders worden uitgevoerd. Projectmanagers maken afspraken over de te navolgen vereisten en stellen prioriteiten in uit te voeren maatregelen. Zij houden contact met opdrachtgevers en verantwoordelijken om te zorgen dat de projectdoelen worden behaald en risico’s worden gemitigeerd. Zij spelen een hoofdrol bij het realiseren van een verantwoorde en effectieve inzet van algoritmes binnen een organisatie.
+Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.
Onderwerpenv1.6.1-35-g09770719c
"},{"location":"levenscyclus/","title":"Levenscyclus algoritmes en AI","text":"Over de levenscyclus
De levenscyclus helpt je te bepalen wat je wanneer moet doen. Hoe ziet dit eruit in een plaatje? En waarom 8 fasen?
Fase 0: Organisatieverantwoordelijkheden
Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen.
Fase 1: Probleemanalyse
In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven.
Fase 2: Ontwerp
In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht.
Fase 3: Dataverkenning en datapreparatie
Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam.
Fase 4: Ontwikkelen
Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam.
Fase 5: Verificatie en validatie
Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen.
Fase 6: Implementatie
In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces.
Fase 7: Monitoring en beheer
Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers.
Fase 8: Uitfaseren
Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd.
In deze fase worden relevante datasets ge\u00efdentificeerd en wanneer nodig wordt nieuwe data verzameld. In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.
Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme. Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.
Met voorgaande handelingen wordt het fundament gelegd om het algoritme te kunnen ontwikkelen. In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme.
"},{"location":"levenscyclus/implementatie/","title":"Fase 6: Implementatie","text":"In deze fase wordt het algoritme in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces. In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme. Niet alleen de prestaties van het algoritme worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. Na deze pilot wordt onderzocht in hoeverre het algoritme presteert conform wens en verwachting. Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.
Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme moeten worden ge\u00efnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme. Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme. Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme tot stand. Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is ge\u00efmplementeerd.
"},{"location":"levenscyclus/monitoring-en-beheer/","title":"Fase 7: Monitoring en beheer","text":"Het algoritme wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme.
Het is van belang dat beheer wordt uitgevoerd over het algoritme, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.
"},{"location":"levenscyclus/ontwerp/","title":"Fase 2: Ontwerp","text":"In de ontwerpfase wordt het conceptuele ontwerp van het algoritme uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.
Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.
Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.
Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk ge\u00ebvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme voldoet aan bijvoorbeeld het vereiste van non-discriminatie.
Nadat een besluit is genomen over het definitieve ontwerp van het algoritme, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.
"},{"location":"levenscyclus/ontwikkelen/","title":"Fase 4: Ontwikkelen","text":"Dit is de fase waarin het algoritme wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.
Het algoritme technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.
In deze fase is niet alleen het ontwikkelen van een algoritme, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.
"},{"location":"levenscyclus/organisatieverantwoordelijkheden/","title":"Fase 0: Organisatieverantwoordelijkheden","text":"Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.
"},{"location":"levenscyclus/over-de-levenscyclus/","title":"Over de levenscyclus","text":"Om algoritmes op een verantwoorde manier te gebruiken, zul je op de juiste momenten aandacht moeten hebben voor de juiste onderwerpen en risico's. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. Door al in een vroeg stadium aandacht besteden aan bijvoorbeeld een eventuele inbreuk op mensenrechten kan je hier gedurende het hele proces al rekening mee houden. De levenscyclus helpt je om te bepalen wat je wanneer moet doen.
flowchart TD\n subgraph organisatieniveau [organisatieniveau                                                                           ]\n 0(0. Organisatieverantwoordelijkheden) --> 1(1. Probleemanalyse);\n subgraph systeemniveau [systeemniveau                                                                     ]\n 7(7. Monitoring en beheer) --> 1(1. Probleemanalyse);\n 1(1. Probleemanalyse) --> 2(2. Ontwerp);\n 2(2. Ontwerp) --> 3(3. Dataverkenning en datapreparatie);\n 3(3. Dataverkenning en datapreparatie) --> 4(4. Ontwikkelen);\n 4(4. Ontwikkelen) --> 5(5. Verificatie en validatie);\n 5(5. Verificatie en validatie) --> 6(6. Implementatie);\n 6(6. Implementatie) --> 7(7. Monitoring en beheer);\n 7(7. Monitoring en beheer) -.-> 8(8. Uitfaseren);\n end\n end\n click 0 href \"organisatieverantwoordelijkheden\"\n click 1 href \"probleemanalyse\"\n click 2 href \"ontwerp\"\n click 3 href \"dataverkenning-en-datapreparatie\"\n click 4 href \"ontwikkelen\"\n click 5 href \"verificatie-en-validatie\"\n click 6 href \"implementatie\"\n click 7 href \"monitoring-en-beheer\"\n click 8 href \"uitfaseren\"\n style 0 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 1 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 2 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 3 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 4 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 5 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 6 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 7 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style 8 color:#fff, fill:#1975d2, stroke:#1975d2, text-decoration:underline;\n style organisatieniveau fill:transparantTip
In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.
"},{"location":"levenscyclus/over-de-levenscyclus/#fases-van-de-levenscyclus","title":"Fases van de levenscyclus","text":"De levenscyclus kent 2 verschillende niveau's:
De 9 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:
Deze 9 fasen passen zo goed mogelijk bij de manier van werken van overheden. Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.
"},{"location":"levenscyclus/probleemanalyse/","title":"Fase 1: Probleemanalyse","text":"In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. In deze fase wordt onderzocht of het ontwikkelen van een algoritme een geschikt middel is om het doel te realiseren en het probleem op te lossen. Dat hangt van verschillende zaken af.
Hierbij kan worden gedacht aan de middelen (capaciteit en financi\u00eble middelen) die nodig zijn om algoritmen op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme een organisatie te raadplegen.
Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme passend is. Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme te ontwikkelen. Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.
"},{"location":"levenscyclus/uitfaseren/","title":"Fase 8: Uitfaseren","text":"Als wordt besloten dat het algoritme niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.
Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. Het gaat daarbij ook om informatie over het algoritme, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme van belang. Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.
Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. Er moet worden vastgesteld welke versies van een model moet gearchiveerd.
Bij uitfaseren wordt het algoritme verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. Het algoritme is hiermee niet meer te gebruiken door gebruikers. Gebruikers moeten hier vooraf over worden ge\u00efnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen ge\u00efnformeerd over het be\u00ebindigen van het gebruik.
"},{"location":"levenscyclus/verificatie-en-validatie/","title":"Fase 5: Verificatie en validatie","text":"Bij de verificatie en validatie van het algoritme dient bepaald te worden of het algoritme gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.
Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.
Bij het valideren van een algoritme moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.
In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. Het is ook denkbaar dat het algoritme onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt be\u00ebindigd. Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.
"},{"location":"onderwerpen/","title":"Onderwerpen","text":"Bias en non-discriminatie
Hulp bij het voorkomen van bias en discriminatie in algoritmes. Met aanbevelingen en hulpmiddelen zoals het toetsingskader van het College voor de Rechten van de Mens.
Data
Hulp bij het verantwoord selecteren en verwerken van data voor je algoritmes. Gebruik bijvoorbeeld de toolbox verantwoord datagebruik.
Duurzaamheid
Hulp bij het maken van duurzame keuzes voor hardware en software. Bijvoorbeeld voor de aanschaf van apparaten of het energieverbruik van trainen en data-opslag.
Governance
Hulp bij het verantwoordelijk omgaan met algoritmes. Bijvoorbeeld het vastleggen van rollen en verantwoordelijkheden.
Grondrechten
Hulp bij het beschermen van grondrechten en mensenrechten in algoritmes. Bijvoorbeeld het beoordelen van de gevolgen per grondrecht.
Menselijke controle
Hulp bij de controle als mens over algoritmes. Bijvoorbeeld kunnen ingrijpen bij onbetrouwbare resultaten.
Privacy en gegevensbescherming
Hulp bij verantwoord gebruik van gegevens voor algoritmes, zoals persoonsgegevens en privacygevoelige gegevens.
Publieke inkoop
Hulp bij het publiek inkopen van software met algoritmen en AI. Met hulpmiddelen zoals modelcontracten en de PIANOo-handreiking Inkoop van algoritmes.
Technische robuustheid en veiligheid
Hulp bij het bewaken van de prestaties van algoritmes. En beveiliging van de systemen tegen bijvoorbeeld cyberaanvallen.
Transparantie
Hulp bij transparant zijn over algoritmes, zoals gebruikers informeren en publiceren in het algoritmeregister.
Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.
Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.
Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.
Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.
De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#wat-is-discriminatie-en-bias","title":"Wat is discriminatie en bias?","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatie","title":"Discriminatie","text":"Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes kunnen hebben.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias","title":"Bias","text":"Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. Omdat niet \u00e9\u00e9n van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias-in-algoritmische-context","title":"Bias in algoritmische context","text":"Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1
Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.
De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.
De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.
Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.
Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes. Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.
Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. Bias vormt daarmee een risico op discriminatie.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#fairness","title":"Fairness","text":"In de context van algoritmes wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#statistische-bias","title":"Statistische bias","text":"Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes. Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).
In de context van algoritmes kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).
"},{"location":"onderwerpen/bias-en-non-discriminatie/#systemische-bias","title":"Systemische bias","text":"We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. Een veel voorkomend voorbeeld van systemische bias is historische bias.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#menselijke-bias","title":"Menselijke bias","text":"Menselijke bias omvat systematische fouten in het menselijk denken. Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)
"},{"location":"onderwerpen/bias-en-non-discriminatie/#overzicht-van-gebruikte-definities","title":"Overzicht van gebruikte definities","text":"Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.
Term of begrip Definitie Bron direct onderscheid indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat Algemene wet gelijke behandeling indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. Algemene wet gelijke behandeling discriminatie mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. College voor de rechten van de mens directe discriminatie de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader indirecte discriminatie wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader algoritmische fairness het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid The fairness handbook ground truth (NL vertaling?) waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 NEN-EN-ISO/IEC 22989:2023 en 4 etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader risicoprofiel Een verzameling van \u00e9\u00e9n of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader groep deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. ISO/IEC TR 24027:2021 en 4"},{"location":"onderwerpen/bias-en-non-discriminatie/#verschillende-vormen-van-bias","title":"Verschillende vormen van bias","text":"Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.
Begrip Definitie Bron automatiseringsbias de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is ISO/IEC TR 24027:2021 en 4 data bias dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen ISO/IEC TR 24027:2021 en 4 statistische bias soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen ISO/IEC TR 24027:2021 en 4 historische bias verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief NIST, Towards a Standard for identifying and managing bias in artificial intelligence activiteitenbias een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. NIST, Towards a Standard for identifying and managing bias in artificial intelligence versterkingsbias ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. NIST, Towards a Standard for identifying and managing bias in artificial intelligence cognitieve bias een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen ge\u00efdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. NIST, Towards a Standard for identifying and managing bias in artificial intelligence bevestigingsbias soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen ISO/IEC TR 24027:2021 en 4 implementatie bias ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken NIST, Towards a Standard for identifying and managing bias in artificial intelligence evaluatie bias ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt NIST, Towards a Standard for identifying and managing bias in artificial intelligence meetbias ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt ge\u00efntroduceerd die leidt tot differenti\u00eble prestaties. NIST, Towards a Standard for identifying and managing bias in artificial intelligence representatie bias ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor \u00e9\u00e9n populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie NIST, Towards a Standard for identifying and managing bias in artificial intelligence"},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatiegrond","title":"Discriminatiegrond","text":"De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-grondwet","title":"De grondwet","text":"De Grondwet stelt dat discriminatie wegens:
niet is toegestaan.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-algemene-wet-gelijke-behandeling","title":"De Algemene wet gelijke behandeling","text":"De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:
Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#europees-verdrag-voor-de-rechten-van-de-mens","title":"Europees Verdrag voor de Rechten van de Mens","text":"Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:
Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:
is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#mogelijke-hulpmiddelen-en-methoden","title":"Mogelijke hulpmiddelen en methoden","text":"HulpmiddelenThe Fairness HandbookHandreiking non-discriminatie by designDiscriminatie door risicoprofielen - Een mensenrechtelijk toetsingskaderZie ISO/IEC TR 24027:2021 en 4 \u21a9\u21a9
Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9
Zie NEN-EN-ISO/IEC 22989:2023 en 4 \u21a9
Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9
De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen.\u00a0\u21a9
Overheden moeten verantwoord omgaan met de data die hun algoritmes gebruiken. De data moet voldoen aan regels voor bijvoorbeeld privacy. De kwaliteit van de data moet goed zijn. En overheden moeten deze gegevens goed beheren. Anders is het algoritme niet betrouwbaar.
"},{"location":"onderwerpen/data/#wat-is-verantwoord-datagebruik","title":"Wat is verantwoord datagebruik?","text":"Verantwoord datagebruik betekent:
Net als organisaties mogen algoritmes niet zomaar gegevens verzamelen en gebruiken. Dit moet rechtmatig gebeuren: volgens de wettelijke regels. Zo moet je rekening houden met auteursrechten. Ook v\u00f3\u00f3rdat het algoritme in gebruik is, moet je rechtmatig omgaan met data. Dus tijdens het trainen, valideren en testen.
Andere belangrijke regels gaan over privacy. Zo mag je algoritme alleen de minimale persoonsgegevens gebruiken die nodig zijn om het doel te bereiken. Technieken om dit te doen zijn:
Hoe slechter de datakwaliteit, hoe onbetrouwbaarder de uitkomsten van je algoritme.
Je bepaalt en controleert zelf de kwaliteit van je dataset. Check bijvoorbeeld of alle gegevens juist, compleet en actueel zijn. En herken bias in je data.
"},{"location":"onderwerpen/data/#goed-databeheer-datagovernance-en-datamanagement","title":"Goed databeheer: datagovernance en datamanagement","text":"Goed databeheer betekent dat je organisatie duidelijke afspraken maakt over het:
Leg de processen en afspraken hierover vast in de datagovernance van je organisatie. In een datamanagementstrategie beschrijf je hoe je organisatie data verzamelt, ordent en gebruikt. Zo kan je organisatie optimaal gebruikmaken van data.
Hoe goed je organisatie data beheert, check je met datavolwassenheidsmodellen uit de Toolbox verantwoord datagebruik van de Interbestuurlijke Datastrategie (IBDS). Of gebruik de beslishulp datavolwassenheid.
"},{"location":"onderwerpen/data/#belang-van-verantwoord-datagebruik","title":"Belang van verantwoord datagebruik","text":"Algoritmes kunnen veel schade veroorzaken in de maatschappij als ze de verkeerde gegevens gebruiken.
Met verantwoord datagebruik voorkom je:
Overheden moeten duurzaam werken met hun ICT, zoals algoritmes. Dit betekent dat je algoritmes inkoopt, ontwikkelt en gebruikt op een manier die vriendelijk is voor mens en milieu.
"},{"location":"onderwerpen/duurzaamheid/#wat-is-duurzaam-werken-met-algoritmes","title":"Wat is duurzaam werken met algoritmes?","text":"Je werkt duurzaam met algoritmes als je tijdens de hele levenscyclus keuzes maakt die passen bij de duurzame en sociale doelen van de overheid:
Om bij te dragen aan deze doelen, kies je bijvoorbeeld voor:
Algoritmes kunnen veel impact hebben op het milieu. De rekenkracht die algoritmes nodig hebben op computers kost elektriciteit. En de datacenters die nodig zijn voor het opslaan van data, verbruiken veel energie, water en grondstoffen. Vooral complexe AI-systemen zoals Large Language Models (LLM\u2019s) verbruiken veel energie door training en gebruik en door opslag van grote datasets in datacenters.
"},{"location":"onderwerpen/duurzaamheid/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/fundamentele-rechten/","title":"Grondrechten beschermen in algoritmes","text":"Als overheid moet je de grondrechten van burgers beschermen. Dit geldt ook als je algoritmes gebruikt voor publieke taken.
"},{"location":"onderwerpen/fundamentele-rechten/#wat-is-het-beschermen-van-grondrechten-in-algoritmes","title":"Wat is het beschermen van grondrechten in algoritmes?","text":"Dit betekent dat je tijdens het ontwikkelen en gebruiken van algoritmes rekening houdt met de fundamentele rechten van de mens:
Algoritmes kunnen grondrechten schenden. Een bekend probleem is bias in algoritmes. Hierdoor worden resultaten onbetrouwbaar en kun je mensen ongelijk behandelen.
Belangrijke grondrechten die vaak worden geraakt door algoritmen zijn bijvoorbeeld:
Als overheid moet je hier goed op letten. Doe dit zo vroeg mogelijk in de levenscyclus. De maatregelen die we adviseren, beginnen al bij het ontwerpen en trainen van algoritmes.
"},{"location":"onderwerpen/fundamentele-rechten/#aanbevolen-maatregelen","title":"Aanbevolen maatregelen","text":"idMaatregelenpba-04Overleg regelmatig met belanghebbendenowp-06Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafwegingowp-07Maak een lijst van de meest kwetsbare groepen en bescherm hen extra"},{"location":"onderwerpen/fundamentele-rechten/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)De Ethische Data AssistentImpact Assessment Mensenrechten en AlgoritmesThe Fairness HandbookFramework for Meaningful EngagementHandreiking non-discriminatie by designDiscriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader"},{"location":"onderwerpen/fundamentele-rechten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/governance/","title":"Governance van algoritmes binnen je organisatie","text":"Zorg voor effectieve governance van je algoritmes. Dit is het beleid van je organisatie voor het verantwoordelijk omgaan met algoritmes en AI-systemen. Leg bijvoorbeeld vast wie waarvoor verantwoordelijk is.
"},{"location":"onderwerpen/governance/#wat-is-governance-van-algoritmes-binnen-je-organisatie","title":"Wat is governance van algoritmes binnen je organisatie?","text":"Algoritme-governance is de manier waarop je organisatie omgaat met algoritmes en AI-systemen. Je maakt duidelijke afspraken over processen, regels en verantwoordelijkheden.
Deze afspraken maak je op 2 niveaus:
"},{"location":"onderwerpen/governance/#organisatieniveau","title":"Organisatieniveau","text":"Hoe de organisatie met algoritmes in het algemeen omgaat, bijvoorbeeld:
Dit zijn afspraken over het beheer van de algoritmes zelf, bijvoorbeeld:
Zonder governance verlies je grip op het inkopen, ontwikkelen, gebruiken en uitfaseren van algoritmes en AI. Dit vergroot het risico op overtredingen van wetten en regels zoals de AI-verordening, Grondwet, Algemene Verordening Gegevensbescherming (AVG) en Auteurswet.
Goede governance van algoritmes helpt bij het:
Algoritme-governance bepaal je zelf als organisatie.
Houd in elk geval rekening met:
[!TIP] Zorg dat iemand verantwoordelijk is voor algoritme-governance. En betrek stakeholders.
"},{"location":"onderwerpen/governance/#vereisten","title":"Vereisten","text":"idVereistenaia-01Personeel en gebruikers zijn voldoende AI-geletterd.aia-01Verboden AI-systemen mogen niet worden gebruikt.aia-02Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.aia-03Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteemaia-11Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteemaia-14Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedureaia-15Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaringaia-17Hoog-risico-AI-systemen zijn geregistreerd in de EU-databankaia-20Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzingaia-21Menselijke controle van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkhedenaia-25Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databankaia-28Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluitenaia-31Als AI-modellen voor algemene doeleinden met systeemrisico\u2019s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerdaia-32AI-modellen voor algemene doeleinden met systeemrisico\u2019s zijn voldoende beveiligd tegen cyberaanvallenaia-35Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouderaia-36Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordeningaut-01Auteursrechten zijn beschermdavg-06Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken"},{"location":"onderwerpen/governance/#aanbevolen-maatregelen","title":"Aanbevolen maatregelen","text":"idMaatregelenorg-01Bepaal of er genoeg experts beschikbaar zijnorg-04Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.org-03Maak een plan voor het omgaan met risico\u2019sorg-04Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.org-05Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.org-06Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staatorg-07Richt een algoritmegovernance in met three lines of defenceorg-08Maak gebruik van beslismomenten in de algoritmelevenscyclusorg-09Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.org-10Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernanceorg-11Maak afspraken over het beheer van gebruikersorg-12Controleer en verbeter regelmatig de kwaliteit van het algoritmeorg-13Maak afspraken over het beheer van wachtwoordenorg-14Maak afspraken over het wijzigen van de codepba-01Beschrijf het probleem dat het algoritme moet oplossenpba-02Beschrijf het doel van het algoritmepba-03Beschrijf waarom een algoritme het probleem moet oplossenpba-04Overleg regelmatig met belanghebbendenpba-05Beschrijf de wettelijke grondslag voor de inzet van het algoritmeowp-01Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmesowp-05Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horenowp-28Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.org-02Pas vastgestelde beleidskaders toeowk-02Maak een noodplan voor het stoppen van het algoritmever-03Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleidimp-03Richt de juiste menselijke controle in van het algoritmeimp-06Spreek af hoe de organisatie omgaat met privacy-verzoekenimp-05Spreek af hoe medewerkers omgaan met het algoritme.imp-09Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.imp-01Maak een openbaar besluit over de inzet van het algoritmemon-03Maak een noodplan voor beveiligingsincidenten"},{"location":"onderwerpen/governance/#aanbevolen-hulpmiddelen","title":"Aanbevolen hulpmiddelen","text":"HulpmiddelenOnderzoekskader algoritmes Auditdienst Rijk 2023Toetsingskader Algoritmes Algemene Rekenkamer"},{"location":"onderwerpen/menselijke-controle/","title":"Menselijke controle over algoritmes","text":"Algoritmes van de overheid moeten onder controle blijven van mensen. Presteert het algoritme niet goed, dan moet een mens dit kunnen aanpassen of stoppen.
"},{"location":"onderwerpen/menselijke-controle/#wat-is-menselijke-controle","title":"Wat is menselijke controle?","text":"Menselijke controle over een algoritme of AI-systeem betekent dat mensen invloed hebben op de uitkomsten. Mensen moeten het ontwerp van het algoritme kunnen aanpassen. En mensen moeten het algoritme kunnen stoppen. Zo kun je op tijd ingrijpen als er iets fout gaat.
"},{"location":"onderwerpen/menselijke-controle/#belang-van-menselijke-controle","title":"Belang van menselijke controle","text":"Algoritmes kunnen schade veroorzaken in de maatschappij. Gebruik je een algoritme voor een publieke taak, dan moet je dit continu op een of andere manier controleren.
"},{"location":"onderwerpen/menselijke-controle/#ontwerp","title":"Ontwerp","text":"Tijdens het ontwerp van een algoritme of AI-systeem controleer je bijvoorbeeld of het algoritme op de juiste manier \u2018getraind\u2019 wordt. Maakt het bijvoorbeeld gebruik van een goede dataset, zonder bias, die representatief is voor de samenleving? En je controleert of het algoritme bepaalde groepen niet benadeelt.
Voordat je een algoritme gaat gebruiken, is het belangrijk om het doel te bepalen.
"},{"location":"onderwerpen/menselijke-controle/#gebruik","title":"Gebruik","text":"Tijdens het gebruik van een algoritme is menselijke controle belangrijk omdat de werking verandert in de loop der tijd:
Er is maatschappelijke consensus dat alleen natuurlijke personen in staat zijn om een goede (ethische) afweging te maken over wanneer en welke controle nodig is. Menselijke controle kan je dus niet automatiseren. Mensen mogen zich hierbij wel laten helpen door computers of andere technologie.
"},{"location":"onderwerpen/menselijke-controle/#aanpak-menselijke-controle","title":"Aanpak menselijke controle","text":"Je kunt op verschillende manieren controle houden over de prestaties van een algoritme:
Wanneer en hoe je controle uitoefent, hangt af van het soort algoritme en risico, de levenscyclusfase van je project en je expertise.
Bepaal in elk geval zo vroeg mogelijk wie in welke levenscyclusfase verantwoordelijk is voor menselijke controle. En beschrijf dit in een RACI-matrix of VERI-matrix. Want menselijke controle is nodig in verschillende fases, door verschillende mensen. Er is nooit 1 persoon verantwoordelijk voor de totale controle.
Tijdens het gebruik kun je menselijke controle op de volgende manieren uitoefenen:
Na het bepalen van de manier van controleren, bepaal je de manier waarop je feedback krijgt over het algoritme: Wat voor soort informatie moet bij wie terechtkomen? Aan wie moet een gebruiker bijvoorbeeld rapporteren dat het AI-systeem niet meer goed werkt?
"},{"location":"onderwerpen/menselijke-controle/#aanbevolen-maatregelen","title":"Aanbevolen maatregelen","text":"idMaatregelenorg-12Controleer en verbeter regelmatig de kwaliteit van het algoritmepba-03Beschrijf waarom een algoritme het probleem moet oplossenowk-02Maak een noodplan voor het stoppen van het algoritmeimp-01Stel een werkinstructie op voor gebruikers.imp-03Richt de juiste menselijke controle in van het algoritmeimp-05Spreek af hoe medewerkers omgaan met het algoritme."},{"location":"onderwerpen/menselijke-controle/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)Framework for Meaningful Engagement"},{"location":"onderwerpen/menselijke-controle/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/privacy-en-gegevensbescherming/","title":"Privacy en gegevensbescherming","text":"Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te cre\u00ebren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.
Bij het gebruik van algoritmes is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologie\u00ebn vari\u00ebren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico\u2019s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico\u2019s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.
Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.
Het bouwblok privacy en gegevensbescherming van algoritmes wordt ook ge\u00efntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmes moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden ge\u00efmplementeerd.
"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)Data Protection Impact Assessment"},{"location":"onderwerpen/publieke-inkoop/","title":"Inkoop van verantwoorde algoritmes","text":"Algoritmes die de overheid inkoopt bij leveranciers, moeten voldoen aan strenge eisen. Het inkoopproces speelt een belangrijke rol bij het in goede banen leiden van alle belangen. Begin met een uitgebreide behoeftestelling. En werk goed samen met de leverancier.
"},{"location":"onderwerpen/publieke-inkoop/#wat-is-inkoop-van-verantwoorde-algoritmes","title":"Wat is inkoop van verantwoorde algoritmes?","text":"Overheidsorganisaties kunnen een behoefte hebben om hun taken beter uit te gaan voeren en om daar algoritmes voor in te zetten. Het ontwikkelen van algoritmes wordt soms door de overheid zelf gedaan waar dat nodig is. In veel gevallen wordt ervoor gekozen om algoritmes te gaan gebruiken die worden ontwikkelt door leveranciers die hierin gespecialiseerd zijn.
Het inkoopproces moet eraan bijdragen dat uiteindelijk een contract wordt gesloten met een leverancier die het best in staat is om invulling te geven aan deze \u2018overheidsopdracht\u2019. Het is van belang dat in het inkoopproces duidelijk wordt gemaakt aan welke voorwaarden moet worden voldaan door leveranciers. Net als voor privacy en informatiebeveiliging, zullen de vereisten specifiek voor algoritmes ook een plek moeten krijgen in het inkoopproces.
"},{"location":"onderwerpen/publieke-inkoop/#belang-van-het-inkoopproces","title":"Belang van het inkoopproces","text":"Het inkoopproces neemt een bijzondere positie in om tot een verantwoorde inzet van algoritmes te komen door overheidsorganisaties. Met een gedegen inkoopproces kunnen mogelijke negatieve effecten van algoritmes voor een belangrijk deel al op voorhand worden voorkomen. Dit wordt gedaan door een leverancier te selecteren die voldoet aan de wensen en vereisten die aan deze algoritmes moeten worden gesteld en door hier nadere afspraken mee te maken.
Het is daarom van belang dat de wensen en vereisten goed in beeld worden gebracht. En dat bijvoorbeeld een inkoopadviseur deze wensen en vereisten een plek geeft in een aanbesteding, zodat je bij de meest geschikte leverancier uitkomt. Dit geldt ook voor onderhandse gunningen.
Het publiek inkopen van algoritmes biedt naast het voldoen aan vereisten, een waardevolle kans om nadere invulling te geven aan publieke waarden die worden nagestreefd door overheidsorganisaties.
"},{"location":"onderwerpen/publieke-inkoop/#maak-een-uitgebreide-behoeftestelling","title":"Maak een uitgebreide behoeftestelling","text":"Afhankelijk van de behoeftestelling, moet worden beoordeeld aan welke vereiste de benodigde algoritmes van leveranciers moet voldoen en hoe deze betekenisvol kunnen worden geadresseerd. Het is raadzaam om deze beoordeling met een multidisciplinair team te doen.
Beantwoord in elk geval de volgende vragen:
Een inkoper heeft een belangrijke rol om antwoorden op deze vragen te verzamelen en om dit te vertalen naar sleutelmomenten binnen het inkoopproces.
"},{"location":"onderwerpen/publieke-inkoop/#verken-de-markt-en-specificeer-de-inkoopbehoefte","title":"Verken de markt en specificeer de inkoopbehoefte","text":"Nadat de behoefstelling is beeld is gebracht, is het van belang om te verkennen welke oplossingen in de markt beschikbaar zijn. Dat kan worden gedaan met bijvoorbeeld een marktconsultatie en door met leveranciers in gesprek te gaan. Dit kan waardevolle inzichten opleveren om het inkoopproces verder mee vorm te gaan geven.
Het multidisciplinaire inkoopteam zal vervolgens de behoeftestelling moeten gaan specificeren. Daar kan op verschillende manieren. Hier kan worden gedacht aan:
Als leveranciers, bijvoorbeeld bij een aanbesteding, hun inschrijving hebben ingediend, moet worden beoordeeld welke leverancier het best aansluit bij de opdracht.
Stel een beoordelingsteam samen waarin voldoende kennis over algoritmes aanwezig is.
Er wordt vervolgens een leverancier geselecteerd waarmee een contract wordt opgesteld. Het is van belang dat goed wordt nagedacht hoe het contractbeheer wordt vormgegeven en welke verantwoordelijkheden er blijven bestaan voor de opdrachtnemen.
"},{"location":"onderwerpen/publieke-inkoop/#aanbevolen-hulpmiddelen","title":"Aanbevolen hulpmiddelen","text":"HulpmiddelenInkoopvoorwaarden"},{"location":"onderwerpen/publieke-inkoop/#bronnen","title":"Bronnen","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/","title":"Technische robuustheid en veiligheid","text":"Algoritmes van de overheid moeten robuust en veilig zijn. Dit betekent dat je algoritmes in elke situatie goed presteren, ook als er iets onverwachts gebeurt. Gaat er toch iets mis, dan is er een noodplan.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#wat-is-technisch-robuust-en-veilig","title":"Wat is technisch robuust en veilig?","text":"Een technisch robuust en veilig algoritme presteert onder elke omstandigheid zoals het bedoeld is.
Een robuust algoritme is:
Een algoritme is veilig onder deze omstandigheden:
Algoritmes kunnen grote schade veroorzaken aan de maatschappij. Met een technisch robuust en goed beveiligd algoritme voorkom je:
Gebruik een algoritme alleen voor het juiste doel en op de juiste manier. Dit is de manier die is getest en gecontroleerd. Wanneer je het algoritme gebruikt voor een ander doel of in een verkeerde context, zijn de resultaten niet meer betrouwbaar.
Voorkom dat medewerkers op de verkeerde manier werken met het algoritme. Zij moeten weten wat het algoritme wel en niet kan. En wat ze moeten doen als het algoritme fouten maakt of niet goed werkt. Denk aan technische en organisatorische ondersteuning:
Begin zo vroeg mogelijk met regelmatige controles van de uitkomst en werking van het algoritme. In de praktijk verandert de omgeving en de situatie waarin het algoritme wordt gebruikt. Controleer daarom regelmatig of het algoritme nog werkt zoals het is bedoeld.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#voorbeeld","title":"Voorbeeld","text":"Een algoritme leest kentekens tijdens parkeercontroles. Het herkent de juiste letters en cijfers op elk kenteken. Ook als het bord een andere kleur heeft, op een andere plek zit of vies is. Het algoritme is nauwkeurig en dus robuust.
Een algoritme berekent het risico op fraude door mensen. Maar bij personen uit dezelfde groep geeft het algoritme de ene keer als uitkomst \u2018hoog risico\u2019 en de andere keer \u2018geen risico\u2019. De uitkomst is niet reproduceerbaar. Hierdoor is het algoritme niet robuust.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#controles-voorbereiden","title":"Controles voorbereiden","text":"Bereid de controles voor tijdens de levenscyclusfases probleemanalyse, ontwerp en dataverkenning en datapreparatie. Onderzoek de situatie waarin je organisatie het algoritme gaat gebruiken: Wat zijn de risico\u2019s? Welke onderdelen van het algoritme moet je evalueren? Analyseer de kwaliteit en variatie van de data. Bedenk maatregelen waarmee je de risico\u2019s zoveel mogelijk voorkomt. En bedenk met welke methode je de controles gaat evalueren.
Ontwikkel je het algoritme zelf, controleer dan tijdens de ontwikkeling al wat er gebeurt in de verschillende situaties die je verwacht. Experimenteer met nieuwe combinaties van de inputdata en gebruik verschillende representatieve test-sets.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#controles-uitvoeren","title":"Controles uitvoeren","text":"Voer de controles uit tijdens de ontwikkelfase en de verificatie- en validatiefase. Test het algoritme goed. Evalueer hoe robuust en veilig het algoritme is. Verbeter het algoritme waar nodig. En monitor goed welke data het algoritme gebruikt, zodat je veranderingen in die data snel signaleert. Maak een noodplan voor als blijkt dat het algoritme niet meer werkt zoals het bedoeld was.
Blijf regelmatig controleren tijdens de fases implementatie en monitoring en beheer. Dit zijn de fases waarin je het algoritme gebruikt. Presteert het algoritme niet goed, los het probleem dan op of stop het gebruik.
[!TIP] Houd rekening met concept drift. Dit betekent dat de eigenschappen van je data in de loop van de tijd kunnen veranderen. Hierdoor trekt je algoritme mogelijk verkeerde conclusies. Zo was er v\u00f3\u00f3r 2020 een verband tussen thuiswerken en ziek zijn. Maar sinds de coronacrisis in 2020 is dit verband minder sterk, omdat gezonde mensen vaker thuiswerken.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#bescherm-algoritmes-tegen-aanvallen-en-bedreigingen","title":"Bescherm algoritmes tegen aanvallen en bedreigingen","text":"Beveilig het ICT-systeem waarin het algoritme wordt gebruikt. Dit zijn bijvoorbeeld maatregelen uit de Baseline Informatiebeveiliging Overheid (BIO) die je standaard neemt voor beveiliging van ICT-systemen tegen cyberaanvallen.
Beveilig de algoritmes zelf tegen cybercriminelen. Belangrijke bedreigingen voor algoritmes zijn:
Lees meer in het TNO-rapport Verkenning van het raakvlak cybersecurity en AI.
Aandachtspunten voor het beschermen van algoritmes tegen specifieke dreigingen:
Hiermee voorkom je:
Begin zo vroeg mogelijk met beveiligen. Beveilig in elk geval in de fases ontwikkelen, verificatie en validatie, implementatie, monitoring en beheer en uitfaseren.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#verklein-de-kans-op-schade","title":"Verklein de kans op schade","text":"Veroorzaak zo min mogelijk schade als het toch fout gaat. En maak een noodplan voor incidenten. Het doel van dit plan is ervoor zorgen dat de fout zo min mogelijk gevolgen heeft voor de organisatie en de maatschappij. In het plan staat bijvoorbeeld wie wat moet doen als het systeem uitvalt.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#aanbevolen-maatregelen","title":"Aanbevolen maatregelen","text":"idMaatregelenorg-11Maak afspraken over het beheer van gebruikersorg-13Maak afspraken over het beheer van wachtwoordenorg-14Maak afspraken over het wijzigen van de codeowp-04Beschrijf welke techniek gebruikt wordt voor de beoogde toepassingowp-10Maak een Project Startarchitectuur (PSA) voor de ontwikkeling of inkoop van algoritmesowp-24Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectdat-04Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsproceduredat-07Gebruik bij machine learning technieken gescheiden train-, test- en validatiedata en houdt rekening met underfitting en overfitting.owk-01Ontwerp en ontwikkel het algoritme volgens de principes van \u2018security by design\u2019owk-04Maak logbestanden waarin staat wie wanneer toegang had tot de data en de codever-01Controleer regelmatig of het algoritme werkt zoals het bedoeld isimp-02Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie\u2019 te controlerenmon-01Maak back-ups van algoritmesmon-02Beveilig de softwaremon-03Maak een noodplan voor beveiligingsincidentenmon-04Monitor regelmatig op veranderingen in de data. Bij veranderingen evalueer je de prestaties en output van het algoritme."},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)Baseline Informatiebeveiliging Overheid (BIO)"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#bronnen","title":"Bronnen","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/transparantie/","title":"Transparant zijn over algoritmes","text":"Overheden moeten transparant zijn over hun algoritmes. Dit betekent dat je duidelijke informatie geeft over de algoritmes die je ontwikkelt of gebruikt.
"},{"location":"onderwerpen/transparantie/#wanneer-ben-je-transparant","title":"Wanneer ben je transparant?","text":"Je draagt bij aan transparantie over algoritmes als je duidelijk uitlegt:
Als je open bent over de algoritmes die je ontwikkelt of gebruikt, kunnen burgers en bedrijven zich beter verdedigen tegen mogelijke nadelige gevolgen. Verkeerd gebruik van algoritmes kan iemands leven namelijk ernstig be\u00efnvloeden. Bijvoorbeeld door discriminatie of een besluit dat niet klopt.
Door uit te leggen hoe het algoritme werkt, kun je de beslissingen van het algoritme makkelijker controleren. Je leert sneller waarom het bepaalde keuzes maakt en waar de zwakke plekken zitten.
Ook je organisatie is makkelijker te controleren. Omdat je transparant bent over algoritmes, kunnen burgers feedback geven. Journalisten zien wat je doet. En andere overheden kunnen hiervan leren.
"},{"location":"onderwerpen/transparantie/#aanpak-transparant-werken","title":"Aanpak transparant werken","text":"Hoe je transparantie organiseert, hangt af van:
Onderzoek goed welk soort algoritme je gebruikt of wil gebruiken. Hoe groter de impact en het risico, hoe strenger de vereisten.
De keuze voor het soort algoritme bepaalt ook hoe transparant je kunt zijn. Van rekenregels kun je namelijk precies uitleggen hoe deze tot een beslissing komen. Maar complexe AI-systemen zijn vaak een black box: niemand weet precies hoe deze systemen beslissingen maken. Volledige transparantie is dan niet mogelijk. In dat geval moet je de werking zo goed mogelijk onderzoeken. Probeer bijvoorbeeld in elk geval ernstige gevolgen zoals discriminatie te voorkomen.
Tip
Rekenregels zijn makkelijker uit te leggen dan AI-systemen. Als een rekenregel voldoende is voor het bereiken van je doel, dan is het ook makkelijker om transparant te zijn.
"},{"location":"onderwerpen/transparantie/#betrokken-partijen","title":"Betrokken partijen","text":"Stem je informatie af op de betrokken partij. Zo moeten gebruikers de uitkomst van het algoritme voldoende begrijpen voor het nemen van onderbouwde beslissingen. En belanghebbenden zoals burgers moeten weten dat zij te maken hebben met een algoritme. Zij moeten snel en makkelijk kunnen vinden wat hun rechten zijn en hoe zij in beroep kunnen gaan.
Doelgroep Informeer bijvoorbeeld over Geef de informatie bijvoorbeeld via: Ontwikkelaar de werking, keuzes van het ontwikkelteam technische documentatie Gebruiker hoe uitkomsten tot stand komen, gebruikte data, wat het algoritme wel en niet kan gebruiksinstructies, trainingen Medewerker contactpersonen, algoritmegebruik binnen de organisatie, afspraken over algoritmemanagement (ook wel: algoritmegovernance) intern algoritmeregister, trainingen Belanghebbende (iemand voor wie het algoritme gevolgen heeft) hoe een besluit tot stand kwam, mogelijkheden om bezwaar te maken, contactmogelijkheden brief over het besluit, webpagina over het algoritme Ge\u00efnteresseerde burger algoritmegebruik binnen de organisatie webpagina over het algoritme, algoritmeregister Auditor werking, ontwikkelproces, keuzes van het ontwikkelteam, hoe uitkomsten tot stand komen algoritmeregister, technische documentatie, programmeercode Onderzoeker of journalist algoritmegebruik binnen de organisatie algoritmeregister, technische documentatie, code"},{"location":"onderwerpen/transparantie/#aanbevolen-maatregelen","title":"Aanbevolen maatregelen","text":"idMaatregelenorg-04Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.org-04Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.pba-01Beschrijf het probleem dat het algoritme moet oplossenpba-02Beschrijf het doel van het algoritmepba-05Beschrijf de wettelijke grondslag voor de inzet van het algoritmeowp-08Bepaal welke documenten voor hoe lang gearchiveerd moeten wordenowp-13Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.owp-20Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke.owp-22Bepaal in een aanbesteding of algoritmes van een aanbieder bepalende invloed hebben in een besluit richting personenpba-04Stel vast welke betrokkenen ge\u00efnformeerd moeten worden en welke informatie zij nodig hebben.owp-07Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze.imp-10Maak gebruik van een algoritme dat bronvermelding kan genereren bij de output.org-02Pas vastgestelde beleidskaders toever-03Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleidimp-01Stel een werkinstructie op voor gebruikers.imp-04Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregisterimp-07Vermeld het gebruik van persoonsgegevens in een privacyverklaringimp-08Vermeld het gebruik van persoonsgegevens in het verwerkingsregisterimp-01Maak een openbaar besluit over de inzet van het algoritme"},{"location":"onderwerpen/transparantie/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)Impact Assessment Mensenrechten en AlgoritmesAlgoritmeregisterFramework for Meaningful Engagement"},{"location":"onderwerpen/transparantie/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/","title":"Basiskennis algoritmes en AI","text":"Soorten algoritmes
Het soort algoritme bepaalt aan welke vereisten je moet voldoen. Werk je met simpele rekenregels of een AI-systeem?
Risico van AI-systemen
Je AI-systemen valt mogelijk onder een risicogroep uit de AI-verordening.
Impact van algoritmes
Impactvolle algoritmes moet je registreren in het Algoritmeregister.
Woordenlijst
Uitleg van begrippen die je vaak tegenkomt op deze website.
Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! \u2764\ufe0f
We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader. Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert. Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen. We kijken uit naar alle bijdragen! \ud83c\udf89
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#opmerking","title":"Opmerking","text":"Werken in Github is voor het team Algoritmekader nieuw en experimenteel. Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden \u00e9\u00e9n voor \u00e9\u00e9n opgepakt. Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#inhoudsopgave","title":"Inhoudsopgave","text":"Dit project en iedereen die eraan deelneemt, valt onder de Code of Conduct. Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag aan algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-heb-een-vraag","title":"Ik heb een vraag","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#maak-een-issue-aan","title":"Maak een issue aan","text":"Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.
Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.
question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-iets-bijdragen","title":"Ik wil iets bijdragen","text":"Er zijn verschillende manieren waarop je kan bijdragen. Zie hieronder de mogelijkheden.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ter-kennisgeving","title":"Ter kennisgeving","text":"Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#sluit-je-aan-bij-een-werkgroep","title":"Sluit je aan bij een werkgroep","text":"Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op \u00e9\u00e9n van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#neem-deel-aan-een-sprint-review-klankbord-demo","title":"Neem deel aan een sprint review / klankbord / demo","text":"Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-fout-of-bug-melden","title":"Ik wil een fout of bug melden","text":"Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.
Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.
Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.
bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.
Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#voordat-je-een-suggestie-gaat-maken","title":"Voordat je een suggestie gaat maken","text":"Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.
enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#een-pull-request-maken","title":"Een pull-request maken","text":"Kun je niet uit de voeten met de issues? Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.
Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.
Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#preview-van-een-pull-request","title":"Preview van een pull-request","text":"We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#hoe-we-werken-op-github","title":"Hoe we werken op Github","text":"We werken met Markdown bestanden. Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.
Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#wil-je-een-nieuwe-pagina-aanmaken","title":"Wil je een nieuwe pagina aanmaken?","text":"In het mkdocs.yml bestand staan de settings voor deze website. In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.
"},{"location":"overhetalgoritmekader/over-het-algoritmekader/","title":"Over het Algoritmekader","text":"Het Algoritmekader is een hulpmiddel voor overheden die algoritmes, waaronder AI (artifici\u00eble intelligentie), gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een b\u00e8taversie. De definitieve versie verschijnt eind 2024.
"},{"location":"overhetalgoritmekader/over-het-algoritmekader/#verantwoord-gebruik-van-algoritmes","title":"Verantwoord gebruik van algoritmes","text":"In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes. Bijvoorbeeld:
De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.
"},{"location":"overhetalgoritmekader/over-het-algoritmekader/#informatie-van-de-overheid","title":"Informatie van de overheid","text":"Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:
alle wetten en regels, zoals de AI-verordening en de Algemene wet bestuursrecht
belangrijke hulpmiddelen, zoals de IAMA (Impact Assessment Mensenrechten en Algoritmes)
Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.
Sindsdien verschijnt elke maand een nieuwe b\u00e8taversie van het Algoritmekader. Deze b\u00e8taversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.
Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.
"},{"location":"overhetalgoritmekader/over-het-algoritmekader/#iedereen-mag-meedenken","title":"Iedereen mag meedenken","text":"De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:
Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.
"},{"location":"overhetalgoritmekader/soorten-algoritmes/","title":"Soorten algoritmes","text":"Om te voldoen aan de vereisten, moet je weten met welk soort algoritme je werkt. Gaat het om simpele rekenregels of een AI-systeem? En wat voor impact hebben je algoritmes?
"},{"location":"overhetalgoritmekader/soorten-algoritmes/#wanneer-is-het-een-algoritme","title":"Wanneer is het een algoritme?","text":"Met een algoritme bedoelen we een set regels en instructies die een computer uitvoert, met 1 of meer van deze doelen:
Rekenregels (ook wel: regelgebaseerde algoritmes) zijn de meest eenvoudige algoritmes. Dit zijn door mensen bedachte regels die het computersysteem precies moet opvolgen: als x gebeurt, dan doe je y.
Rekenregels:
Rekenregels zijn niet kunstmatig intelligent (AI). Rekenregels kunnen wel onderdeel zijn van een AI-systeem.
"},{"location":"overhetalgoritmekader/soorten-algoritmes/#voorbeelden","title":"Voorbeelden","text":"Zelflerende algoritmes zijn algoritmes die zichzelf trainen. Dit proces heet machinelearning. Hierdoor worden computers intelligent zonder dat mensen dit precies zo programmeren. Dit is een veel voorkomende vorm van AI.
Zelflerende technieken zijn in elk geval:
Met een AI-systeem bedoelen we een systeem dat kunstmatig intelligent is volgens de Europese AI-verordening. Dit zijn in elk geval systemen die gebruik maken van:
Tip
Twijfel je of je algoritme onderdeel is van een AI-systeem? Raadpleeg een expert. Of beschouw het systeem voor de zekerheid als een AI-systeem.
"},{"location":"overhetalgoritmekader/soorten-algoritmes/#risicogroepen-ai-systemen","title":"Risicogroepen AI-systemen","text":"AI-systemen vallen mogelijk onder een van de risicogroepen uit de AI-verordening:
Het hangt ervan af waarvoor je dit AI-systeem gebruikt.
"},{"location":"overhetalgoritmekader/soorten-algoritmes/#impact-van-algoritmes","title":"Impact van algoritmes","text":"Impactvolle algoritmes moet je publiceren in het Algoritmeregister. Dat moet in elk geval in deze situaties:
Een impactvol algoritme kan schade veroorzaken aan de maatschappij. Daarom zijn de regels strenger voor impactvolle dan voor niet-impactvolle algoritmes.
Tip
Twijfel je of je algoritme impactvol is of niet? Beschouw het algoritme dan als impactvol.
Meer uitleg en voorbeelden vind je in de Handreiking Algoritmeregister.
"},{"location":"rollen/","title":"Rollen","text":"Beleid en advies
Dit is degene die gaat over wat wenselijk is en adviseert bij de ontwikkeling en/of inzet van een algoritme. Hierbij horen rollen zoals de beleidsmedewerker, ethicus, CIO-adviseur, architect.
Jurist
Hier komt een tekstje.
Ontwikkelaar
De Ontwikkelaar omvat alle technische expertise.
Projectleider
De projectleider richt zich op het co\u00f6rdineren en aansturen van alle betrokken partijen en processen bij de ontwikkeling van algoritmes.
Dit is degene die gaat over wat wenselijk is en adviseert bij de ontwikkeling en/of inzet van een algoritme. Hierbij horen rollen zoals de beleidsmedewerker, ethicus, CIO-adviseur, architect.
"},{"location":"rollen/jurist/","title":"Jurist","text":"(Hier komt nog tekst).
"},{"location":"rollen/ontwikkelaar/","title":"Ontwikkelaar","text":"De Ontwikkelaar omvat alle technische expertise. Dit zijn professionals die zich bezighouden met het analyseren, ontwikkelen, en implementeren van algoritmes en modellen. Dit zijn de specialisten die zorgen voor de technische kant van de algoritmeontwikkeling, inclusief programmeren, opschonen van data, data-analyse en het ontwerpen van informatieprocessen.
"},{"location":"rollen/ontwikkelaar/#relevantie","title":"Relevantie","text":"Mensen met technische expertise spelen een cruciale rol bij het verantwoord ontwerpen en ontwikkelen van algoritmes. Zij zorgen ervoor dat algoritmes voldoen aan technische en ethische standaarden, en passen methodes toe om de duurzaamheid, eerlijkheid en transparantie van modellen te waarborgen. Technische experts zijn vaak ook verantwoordelijk voor het testen en optimaliseren van de algoritmes, en voor het implementeren van maatregelen om privacy en gegevensbescherming te waarborgen. In het Algoritmekader zijn er tal van vereisten, maatregelen en hulpmiddelen die specifiek relevant zijn voor technische experts.
"},{"location":"rollen/ontwikkelaar/#bijbehorende-functies","title":"Bijbehorende functies","text":"De projectleider richt zich op het co\u00f6rdineren en aansturen van alle betrokken partijen en processen bij de ontwikkeling van algoritmes. Projectleiders zorgen ervoor dat projecten door de verschillende fasen van de levenscyclus van algoritmes worden geleid, van probleemanalyse tot monitoring & beheer, of zelfs uitfasering.
"},{"location":"rollen/projectleider/#relevantie","title":"Relevantie","text":"Projectmanagement binnen het Algoritmekader betekent het verbinden van benodigde expertises en het waarborgen dat alle stappen van het ontwikkelproces verantwoord en volgens de gestelde kaders worden uitgevoerd. Projectmanagers maken afspraken over de te navolgen vereisten en stellen prioriteiten in uit te voeren maatregelen. Zij houden contact met opdrachtgevers en verantwoordelijken om te zorgen dat de projectdoelen worden behaald en risico\u2019s worden gemitigeerd. Zij spelen een hoofdrol bij het realiseren van een verantwoorde en effectieve inzet van algoritmes binnen een organisatie.
"},{"location":"rollen/projectleider/#bijbehorende-functies","title":"Bijbehorende functies","text":"Vereisten voor de overheid
Overzicht van de belangrijkste vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.
Aanbevolen maatregelen
Maatregelen waarmee je kunt voldoen aan de vereisten voor overheden. Deze maatregelen zijn niet verplicht.
Aanbevolen hulpmiddelen
Hulpmiddelen waarmee je kunt voldoen aan de vereisten voor overheden. Deze hulpmiddelen zijn niet verplicht.
AI-verordening in het kort
De Europese regels voor het verantwoord ontwikkelen en gebruiken van AI. Inclusief tijdlijn.
Beslishulp AI-verordening
Geldt de AI-verordening geldt voor jouw AI-product? En aan welke vereisten moet je dan voldoen?
In de AI-verordening staan de Europese regels voor het verantwoord ontwikkelen en gebruiken van AI. Ongewenste AI is verboden vanaf 2 februari 2025. Andere AI-systemen moeten vanaf 2026 of v\u00f3\u00f3r 2030 voldoen aan bepaalde vereisten.
Verordening (EU) 2024/1689 (AI-verordening)
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#over-de-ai-verordening","title":"Over de AI-verordening","text":"De AI-verordening is de eerste uitgebreide wet over artifici\u00eble intelligentie (AI) ter wereld. De regels gelden voor alle Europese lidstaten.
De AI-verordening trad in werking op 1 augustus 2024 en gaat stap voor stap gelden. De eerste regels gaan in op 2 februari 2025. Vanaf 2 augustus 2025 geldt de volgende set regels. Op 2 augustus 2027 gaan de laatste regels in. Dan is de hele AI-verordening van kracht.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#europese-regels-voor-het-ontwikkelen-en-gebruiken-van-ai","title":"Europese regels voor het ontwikkelen en gebruiken van AI","text":"De AI-verordening geldt in deze 3 situaties samen:
Het maakt niet uit waar je AI-producten ontwikkelt. Ontwikkel je buiten de EU, maar is je organisatie gevestigd in een EU-land? Dan geldt de EU-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#verantwoord-gebruik-van-ai","title":"Verantwoord gebruik van AI","text":"Het doel van de AI-verordening is om verantwoord gebruik van AI te stimuleren in de hele EU. Daarom gelden in alle EU-landen dezelfde regels voor het:
Het gaat dan om nieuwe risico\u2019s, zoals misleiding en discriminatie door AI-systemen. Bestaande regels zoals de Algemene verordening gegevensbescherming (AVG) en de Algemene wet bestuursrecht (Awb) beschermen voor een deel tegen de risico\u2019s van AI. De AI-verordening vult deze regels aan.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#definitie-van-een-ai-systeem","title":"Definitie van een AI-systeem","text":"De AI-verordening geldt voor AI-systemen. Volgens de verordening is dit:
'(\u2026) een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na de uitrol aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen.'
Hieronder vallen systemen die kunstmatig intelligent zijn door zelflerende technieken zoals:
Onder AI-systemen vallen ook systemen die gebruik maken van op logica en kennis gebaseerde benaderingen (knowledge and logic-based approaches) die leren, redeneren of modelleren mogelijk maken.
Symbolische AI is meestal ook een AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#uitzondering","title":"Uitzondering","text":"Onder AI-systemen vallen geen systemen die gebaseerd zijn op door mensen gemaakte regels om automatisch handelingen uit te voeren.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#risicogroepen","title":"Risicogroepen","text":"De AI-verordening deelt AI op in risicogroepen. Hoe groter het risico van AI voor de samenleving, hoe strenger de regels uit de AI-verordening. Het hangt ervan af waarvoor je dit AI-systeem gebruikt.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#risico-op-misleiding","title":"Risico op misleiding","text":"Dit zijn AI-systemen die je gebruikt voor:
Over deze systemen moet je transparant zijn. Gebruikers mogen niet denken dat zij te maken hebben met echte mensen of originele content.
Zie AI-verordening, hoofdstuk IV.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#hoog-risico-ai-systemen","title":"Hoog-risico-AI-systemen","text":"Dit zijn AI-systemen die je gebruikt als veiligheidsonderdeel van bepaalde producten of AI-systemen die je gebruikt voor bepaalde diensten of processen.
'Gebruiken als veiligheidsonderdeel' betekent dat je AI-systeem een belangrijke rol speelt in de veiligheid van een product. En dit product valt onder de harmonisatiewetgeving van de EU, zoals:
Zie AI-verordening, bijlage I.
'Gebruik voor bepaalde diensten of processen' zijn:
Zie AI-verordening, bijlage III.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#verboden-ai-systemen","title":"Verboden AI-systemen","text":"Dit zijn AI-systemen die:
Zie AI-verordening, artikel 5.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#2-februari-2025-stoppen-met-verboden-ai","title":"2 februari 2025: stoppen met verboden AI","text":"Organisaties die verboden AI ontwikkelen of gebruiken, moeten deze producten v\u00f3\u00f3r 2 februari 2025 uitfaseren.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#2-augustus-2026-ai-ontwikkelen-volgens-vereisten","title":"2 augustus 2026: AI ontwikkelen volgens vereisten","text":"Organisaties die AI-systemen ontwikkelen, moeten ervoor zorgen dat deze producten v\u00f3\u00f3r 2026 voldoen aan bepaalde vereisten, zoals:
Met de beslishulp AI-verordening bepaal je snel en gemakkelijk of jouw AI-product onder de AI-verordening valt. En wat je dan moet doen.
"},{"location":"voldoen-aan-wetten-en-regels/ai-verordening/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/","title":"Hulpmiddelen","text":"Overzicht van aanbevolen hulpmiddelen voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/#richtlijnen-en-andere-hulpmiddelen","title":"Richtlijnen en andere hulpmiddelen","text":"Met hulpmiddelen bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:
Deze hulpmiddelen helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico\u2019s van algoritmes en AI.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/#hoe-we-hulpmiddelen-selecteren","title":"Hoe we hulpmiddelen selecteren","text":"Hulpmiddelen die we aanbevelen, zijn:
Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer hulpmiddelen mogelijk. We maken een selectie om 2 redenen:
Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).
De meeste hulpmiddelen zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/#overzicht-hulpmiddelen","title":"Overzicht hulpmiddelen","text":"HulpmiddelenAssessment List for Trustworthy Artificial Intelligence (ALTAI)Baseline Informatiebeveiliging Overheid (BIO)De Ethische Data AssistentData Protection Impact AssessmentImpact Assessment Mensenrechten en AlgoritmesAlgoritmeregisterThe Fairness HandbookFramework for Meaningful EngagementHandreiking non-discriminatie by designInkoopvoorwaardenDiscriminatie door risicoprofielen - Een mensenrechtelijk toetsingskaderOnderzoekskader algoritmes Auditdienst Rijk 2023Toetsingskader Algoritmes Algemene Rekenkamer"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/ALTAI/","title":"Assessment List for Trustworthy Artificial Intelligence (ALTAI)","text":"OntwerpOntwikkelenJuristOntwikkelaarProjectleiderBeleid en adviesPrivacy en gegevensbeschermingDuurzaamheidFundamentele rechtenTechnische robuustheid en veiligheidTransparantieMenselijke controleData
Direct naar de ALTAI
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/ALTAI/#hulpmiddel","title":"Hulpmiddel","text":"In 2019 publiceerde de High-Level Expert Group on Artificial Intelligence (AI HLEG), opgericht door de Europese Commissie, de Ethics Guidelines for Trustworthy Artificial Intelligence. De ALTAI is een hulpmiddel dat ontwikkelaars en organisaties helpt hun AI-systemen te beoordelen, gebaseerd op deze Ethics Guidelines for Trustworthy Artificial Intelligence. Het helpt te bepalen of het AI-systeem dat wordt ontwikkeld, ingezet, aangeschaft of gebruikt, voldoet aan zeven vereisten van betrouwbare AI:
De ALTAI is bedoeld voor zelfevaluatie. Het hulpmiddel is verankerd in de bescherming van de fundamentele rechten van mensen, de term die in de Europese Unie wordt gebruikt om te verwijzen naar de mensenrechten die zijn vastgelegd in de EU-verdragen, het Handvest van de Grondrechten, en het internationale mensenrechtenrecht.
De ALTAI is bedoeld voor flexibele inzet: organisaties kunnen gebruikmaken van de relevante onderdelen van dit hulpmiddel voor een specifiek AI-systeem of er elementen aan toevoegen die zij passend achten, rekening houdend met de sector waarin zij opereren. Het helpt organisaties te begrijpen wat betrouwbare AI inhoudt, in het bijzonder welke risico's een AI-systeem zou kunnen meebrengen en hoe deze risico's kunnen worden geminimaliseerd terwijl de kansen van AI worden gemaximaliseerd. Organisaties halen het meeste waarde uit de ALTAI door de gestelde vragen uitgebreid te beantwoorden, die zijn bedoeld om zorgvuldige reflectie te stimuleren en passende vervolgacties aan te formuleren, en een organisatiecultuur te bevorderen die zich inzet voor de ontwikkeling van betrouwbare AI-systemen. Het vergroot het bewustzijn van de mogelijke impact van AI op de samenleving, het milieu, consumenten, werknemers en burgers (in het bijzonder kinderen en mensen die tot gemarginaliseerde groepen behoren).
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/ALTAI/#relevantie","title":"Relevantie","text":"De ALTAI biedt houvast bij het evalueren van in hoeverre een betreffend AI-systeem voldoet aan de zeven vereisten van betrouwbare AI, zoals geformuleerd door de EU. Deze zeven vereisten en de ALTAI hebben samen de basis gevormd voor de AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/ALTAI/#auteur","title":"Auteur","text":"De ALTAI is ontwikkeld door de High-Level Expert Group on Artificial Intelligence van de Europese Commissie.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/ALTAI/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelpba-03 - Beschrijf waarom een algoritme het probleem moet oplossenowp-06 - Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafwegingimp-03 - Richt de juiste menselijke controle in van het algoritme6-imp-06-proces-privacyrechtenmon-02 - Beveilig de softwarepba-05 - Beschrijf de wettelijke grondslag voor de inzet van het algoritmeowp-03 - Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag3-dat-03-persoonsgegevens-beschrijvendat-04 - Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedureowp-07 - Maak een lijst van de meest kwetsbare groepen en bescherm hen extraimp-04 - Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregisterver-01 - Toets het algoritme op biasver-01 - Controleer regelmatig of het algoritme werkt zoals het bedoeld isowk-03 - Analyseer de privacy-risico\u2019s en neem maatregelen om deze risico\u2019s laag te houdenowk-01 - Ontwerp en ontwikkel het algoritme volgens de principes van \u2018security by design\u2019"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/BIO/","title":"Baseline Informatiebeveiliging Overheid (BIO)","text":"OntwerpImplementatieMonitoring en beheerJuristOntwikkelaarProjectleiderTechnische robuustheid en veiligheid
Direct naar de BIO
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/BIO/#hulpmiddel","title":"Hulpmiddel","text":"De BIO is het basisnormenkader voor informatiebeveiliging voor alle overheidslagen, waardoor een gezamenlijke norm voor informatiebeveiliging is ontstaan. Het gebruik van 1 normenkader voor de gehele overheid biedt een aantal voordelen:
Op dit moment wordt er gewerkt aan de BIO2.0. Omdat de BIO2.0 pas eind 2024 van kracht zal worden, is op 1 juni 2023 de handreiking BIO2.0-opmaat opgeleverd. In deze handreiking is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van de ISO-27002. Naast tekstuele wijzigingen, zijn ook een aantal overheidsmaatregelen geactualiseerd, vanwege nieuwe dreigingen, zoals ransomware. Naast de verhoging van de feitelijke veiligheid, wordt ook geanticipeerd op aanpassingen die in de BIO2.0 zullen worden doorgevoerd. Overheidsorganisaties doen er goed aan deze actualisatie in hun beveiliging door te voeren.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/BIO/#relevantie","title":"Relevantie","text":"Iedere overheidsorganisatie is verplicht de BIO in te voeren. De BIO is in december 2018 vastgesteld door de ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie reeds besloten tot invoering van de BIO. De overheidslagen zijn per 1 januari 2019 gestart met de implementatie van de BIO. Iedere overheidslaag heeft daarvoor zelf een implementatiepad opgesteld. De minister van BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/BIO/#auteur","title":"Auteur","text":"De interbestuurlijke werkgroep-BIO draagt zorg voor het onderhoud op de BIO. Onder het voorzitterschap van BZK zijn in de werkgroep de 4 overheidskoepels vertegenwoordigd: CIO Rijk, Vereniging Nederlandse Gemeenten, InterProvinciaal Overleg en Unie van Waterschappen. Verder bestaat de werkgroep uit een aantal grote uitvoeringsorganisaties, het Forum Standaardisatie, het Nationaal Cybersecurity Centrum en het Centrum voor Informatiebeveiliging & Privacybescherming. Besluitvorming over de BIO vindt plaats in het kern-IBO, waarin onder voorzitterschap van BZK vertegenwoordigers van de 4 overheidskoepels zitting hebben.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/BIO/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"MaatregelNone"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DEDA/","title":"De Ethische Data Assistent","text":"ProbleemanalyseOntwerpBeleid en adviesJuristOntwikkelaarProjectleiderDataFundamentele rechten
Direct naar DEDA
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DEDA/#hulpmiddel","title":"Hulpmiddel","text":"DEDA is ontwikkeld door de Data School van de Universiteit Utrecht en bestaat uit een toolkit die helpt bij het in kaart brengen van ethische kwesties bij dataprojecten, bij het documenteren van het beraadslagingsproces en bij de bevordering van de verantwoording aan de diverse stakeholders en het publiek.
DEDA bestaat uit een poster voor brainstormsessies, een interactieve vragenlijst en een handleiding. Alle tools zijn gepubliceerd door de Data School van de Universiteit Utrecht.
DEDA bevordert verantwoordingsplicht, onderwijst gebruikers, communiceert problemen en ondersteunt projectmanagement.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DEDA/#relevantie","title":"Relevantie","text":"DEDA is een belangrijk hulpmiddel omdat het helpt bij de vroege identificatie en bespreking van ethische kwesties in dataprojecten. Net als de IAMA, biedt DEDA een gestructureerde aanpak om de implicaties van datagebruik en algoritmische besluitvorming te beoordelen. Het ondersteunt overheden bij het naleven van het zorgvuldigheidsbeginsel en maakt ethische afwegingen inzichtelijk als onderdeel van de besluitvorming. Door een interactieve vragenlijst en documentatie bevordert DEDA verantwoordingsplicht en transparantie.
DEDA stimuleert interdisciplinaire samenwerking en helpt beleidsmakers, juristen en ontwikkelaars de ethische dimensies van data-analyse beter te begrijpen. Dit draagt bij aan zorgvuldige en rechtvaardige datagedreven oplossingen binnen de publieke sector. DEDA draagt bij aan transparantie en uitlegbaarheid van datagebruik, essentieel voor publiek vertrouwen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DEDA/#auteur","title":"Auteur","text":"DEDA is ontwikkeld door de Data School van de Universiteit Utrecht. DEDA is in nauwe samenwerking met data-analisten ontwikkeld. Inmiddels is DEDA een wijdverspreid instrument, waar de Utrecht Data School ook trainingen en begeleiding bij geeft. Via deze link is meer informatie te vinden.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DEDA/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelpba-03 - Beschrijf waarom een algoritme het probleem moet oplossen2-owp-02-gebruikte-data"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DPIA/","title":"Data Protection Impact Assessment","text":"ProbleemanalyseOntwerpDataverkenning en datapreparatieBeleid en adviesJuristProjectleiderPrivacy en gegevensbescherming
Direct naar de DPIA
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DPIA/#hulpmiddel","title":"Hulpmiddel","text":"Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:
De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:
Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden ge\u00ebvalueerd.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DPIA/#relevantie","title":"Relevantie","text":"Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DPIA/#auteur","title":"Auteur","text":"De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/DPIA/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelowk-03 - Analyseer de privacy-risico\u2019s en neem maatregelen om deze risico\u2019s laag te houden"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/","title":"Impact Assessment Mensenrechten en Algoritmes","text":"ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarJuristBeleid en adviesFundamentele rechtenTransparantie
Direct naar het IAMA
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#hulpmiddel","title":"Hulpmiddel","text":"Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico\u2019s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#relevantie","title":"Relevantie","text":"Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#auteur","title":"Auteur","text":"Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Sch\u00e4fer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Geen maatregelen beschikbaar voor dit hulpmiddel.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#bronnen","title":"Bronnen","text":"Impact Assessment Mensenrechten en Algoritmes
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/IAMA/#voorbeeld","title":"Voorbeeld","text":"Benieuwd naar ervaringen in de praktijk? Bekijk het rapport IAMA in Actie voor de lessons learned van 15 IAMA-trajecten bij Nederlandse overheidsorganisaties.
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/","title":"Algoritmeregister","text":"Monitoring en beheerProjectleiderOntwikkelaarTransparantie
Direct naar het Algoritmeregister
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/#hulpmiddel","title":"Hulpmiddel","text":"De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Algoritmeregister helpt hierbij. Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.
Je kunt hier meer lezen over de doelen van het Algoritmeregister.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/#relevantie","title":"Relevantie","text":"In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelimp-04 - Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/#bronnen","title":"Bronnen","text":"Algoritmeregister
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/algoritmeregister/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/","title":"The Fairness Handbook","text":"ProbleemanalyseOntwerpProjectleiderBias en non discriminatieFundamentele rechten
Direct naar het Fairness Handbook
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#hulpmiddel","title":"Hulpmiddel","text":"Het Fairness Handbook biedt overheidsorganisaties een gedetailleerde richtlijn om eerlijkheid in algoritmen te waarborgen en schadelijke vooroordelen binnen AI-systemen te verminderen. Het handboek, dat origineel is ontwikkeld voor de Gemeente Amsterdam, richt zich op het voorkomen en mitigeren van vooroordelen en oneerlijke uitkomsten (bias) door middel van een gestructureerde Fairness Pipeline. Deze pipeline behandelt alle fasen van het ontwikkelproces, van het formuleren van het probleem tot de uiteindelijke implementatie en monitoring. Dit hulpmiddel biedt inzicht in de soorten schadelijke effecten van AI (zoals representatiebias en denigratieschade) en introduceert specifieke technieken, zoals het uitvoeren van een bias-analyse en het gebruik van contra-feitelijke scenario's (counterfactual fairness), om te controleren of de algoritmen rechtvaardige resultaten opleveren.
Naast praktische technieken voor het meten en mitigeren van vooroordelen, definieert het Fairness Handbook verschillende eerlijkheidsprincipes en bijbehorende statistische metrics. Deze metrics helpen ontwikkelaars en beleidsmakers om de prestaties van modellen te analyseren en verschillen in modelprestaties tussen verschillende groepen te detecteren. Door de nadruk te leggen op transparantie, zowel in de keuze van datasets als in de manier waarop het model beslissingen neemt, helpt het handboek om het vertrouwen in AI-systemen te vergroten en discriminerend gedrag in algoritmen te verminderen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#relevantie","title":"Relevantie","text":"Het Fairness Handbook biedt ondersteuning voor overheden die streven naar verantwoorde, niet-discriminerende algoritmische besluitvorming. Het handboek ondersteunt overheidsinstanties bij het identificeren en corrigeren van vooroordelen in datasets en algoritmes, waardoor het risico op schadelijke effecten, zoals ongelijke verdeling van kansen of kwaliteit van dienstverlening, wordt geminimaliseerd. Het hulpmiddel sluit nauw aan bij andere hulpmiddelen, zoals de IAMA, door richtlijnen te geven voor het beoordelen van specifieke eerlijkheidsaspecten in de context van datagebruik en algoritmeontwikkeling.
Door de combinatie van technische en niet-technische benaderingen bevordert het Fairness Handbook een holistische benadering van algoritmische eerlijkheid. Er wordt rekening gehouden met zowel de technische als de sociale en ethische dimensies. Dit maakt het een bruikbaar hulpmiddel voor diverse overheidsprojecten, waaronder de ontwikkeling van AI-toepassingen in het sociaal domein en besluitvormingsprocessen waarbij kansengelijkheid van groot belang is.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#auteurs-en-ontwikkeling","title":"Auteurs en Ontwikkeling","text":"Het Fairness Handbook is ontwikkeld in 2022 door de Gemeente Amsterdam, met als doel de eerlijkheid en transparantie van haar AI-systemen te verbeteren. Het project is tot stand gekomen in samenwerking met diverse stakeholders, waaronder datawetenschappers, ethici en beleidsmakers, om ervoor te zorgen dat het handboek aansluit bij de bredere maatschappelijke behoeften en regelgeving. Door deze samenwerking biedt het Fairness Handbook een gebalanceerd perspectief, met aandacht voor zowel technische oplossingen als ethische en juridische overwegingen die nodig zijn voor verantwoorde AI-toepassingen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregeldat-01 - Controleer de datakwaliteitver-01 - Toets het algoritme op biasimp-02 - Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie\u2019 te controleren"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#bronnen","title":"Bronnen","text":"The Fairness Handbook
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/fairness-handbook/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld van het gebruik van het Fairness Handbook op het gebied van algoritmen? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/","title":"Framework for Meaningful Engagement","text":"ProbleemanalyseOntwerpProjectleiderBeleid en adviesMenselijke controleTransparantieFundamentele rechten
Direct naar het Framework for Meaningful Engagement
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/#hulpmiddel","title":"Hulpmiddel","text":"Het Framework for Meaningful Engagement biedt organisaties een praktische aanpak om verschillende stakeholders effectief te betrekken in processen rondom AI en algoritmes. Het beschrijft stapsgewijs hoe men betrokkenheid kan ontwerpen en uitvoeren, met de nadruk op drie pijlers:
Het framework helpt organisaties om input van belanghebbenden daadwerkelijk te integreren, wat leidt tot duurzamere, inclusievere besluitvorming.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/#relevantie-voor-het-algoritmekader","title":"Relevantie voor het Algoritmekader","text":"Betekenisvolle betrokkenheid van stakeholders is cruciaal voor verantwoord algoritmegebruik. Voor overheden biedt dit framework handvatten om transparanter te zijn over de ontwikkeling en impact van algoritmes en om een goed proces in te richten bij het gebruik van een algoritme. Dit sluit aan bij eisen rond menselijke controle.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/#auteurs-en-ontwikkeling","title":"Auteurs en ontwikkeling","text":"Het framework is ontwikkeld door de European Center for Not-for-Profit Law Stichting (ECNL) en SocietyInside, als onderdeel van de Deense Tech for Democracy Initiative. De totstandkoming vond plaats via een consultatieproces met bijdragen van meer dan 150 individuen en organisaties wereldwijd, waaronder belanghebbenden uit het maatschappelijk middenveld, bedrijfsleven en overheden. Het framework bouwt voort op de VN-richtlijnen voor bedrijfs- en mensenrechten.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelimp-03 - Richt de juiste menselijke controle in van het algoritmever-03 - Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleidver-01 - Controleer regelmatig of het algoritme werkt zoals het bedoeld isowp-06 - Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafwegingowp-07 - Maak een lijst van de meest kwetsbare groepen en bescherm hen extrapba-01 - Beschrijf het probleem dat het algoritme moet oplossenpba-02 - Beschrijf het doel van het algoritmepba-03 - Beschrijf waarom een algoritme het probleem moet oplossenpba-04 - Overleg regelmatig met belanghebbendenorg-01 - Bepaal of er genoeg experts beschikbaar zijn"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/framework-meaningful-engagement/#bronnen","title":"Bronnen","text":"OntwikkelenImplementatieProjectleiderOntwikkelaarBias en non discriminatieFundamentele rechten
Direct naar de Handreiking non-discriminatie by design
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#hulpmiddel","title":"Hulpmiddel","text":"Deze handreiking legt uit welke vragen en principes leidend zijn bij het ontwikkelen en implementeren van een AI-systeem met het oog op het discriminatieverbod, vanuit zowel juridisch, technisch, als organisatorisch perspectief. De handreiking is een praktisch toepasbaar ontwerpkader dat ontwikkelaars helpt om al in de ontwikkelfase van een AI-systeem discriminerende patronen zoveel mogelijk te identificeren, te voorkomen en te bestrijden.
Er zijn 4 uitgangspunten die leidend zijn in de handreiking:
Stuk over relevantie voor het AK volgt nog. Net als bij het IAMA, is dit document een manier om een multidisciplinaire discussie te faciliteren en stimuleren. Hierbij kunnen verschillende rollen betrokken worden door de projectleider: data-scientists, juristen, de functionaris gegevensbescherming (FG), aangevuld met domeinspecialisten.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#wanneer-toepassen","title":"Wanneer toepassen?","text":"De handreiking is primair geschreven voor teams die zelf AI-systemen bouwen. Het gaat in op verschillende fases van ontwikkeling: probleemanalyse, dataverkenning en datapreparatie, ontwikkeling, implementatie en evaluatie. Daarnaast kan deze handreiking dienen voor opdrachtgevers van AI-systemen, ofwel om vooraf offrerende partijen te vragen aan te geven hoe zij rekening zullen houden met de diverse punten uit de handreiking, ofwel om tijdens het proces mee te kijken en op relevante punten aanwijzingen te geven, ofwel om achteraf te controleren of een opgeleverd product aan alle relevante voorwaarden voldoet.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#relatie-tot-iama","title":"Relatie tot IAMA","text":"Gebruikers van zowel de Handreiking non-discriminatie by design als het IAMA geven enkele verschillen tussen de twee instrumenten. Deze bevindingen zijn te vinden in het rapport 'Bekendheid, toepasbaarheid en toegevoegde waarde handreiking \u201cnon-discriminatie by design\"' van de Auditdienst Rijk.
Zij geven aan dat het IAMA wordt gezien als instrument voor het nagaan van de impact van grondrechten in algemenere zin, waar de Handreiking zich specifiek richt op discriminatie. De handreiking bevat dan weer meer praktische voorbeelden die kunnen helpen bij begrip en afwegingen, waar de IAMA wat abstracter is.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#relatie-tot-het-fairness-handbook","title":"Relatie tot het Fairness Handbook","text":"Over het Fairness Handbook werd in het rapport aangegeven dat het een technischere uitwerking bevat dan de Handreiking. Het Handbook biedt wellicht meer houvast voor iemand die analyses maakt om inzicht te geven in de prestaties van het algoritme met het oog op \u2018fairness\u2019 en \u2018bias\u2019. Dit komt doordat het Handbook meer details geeft over de technische stappen die nodig zijn om te komen tot bepaalde analyses.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#relatie-tot-toetsingskader-risicoprofielen-van-college-voor-de-rechten-van-de-mens","title":"Relatie tot Toetsingskader Risicoprofielen van College voor de Rechten van de Mens","text":"Ook het toetsingskader voor discriminatie door risicoprofielen van het College voor de Rechten van de Mens kan worden gebruikt om te bepalen of er discriminatie plaatsvindt. Dit kader is afkomstig uit 2021 en er wordt gewerkt aan een nieuwe versie, die waarschijnlijk eind 2024 zal verschijnen. De verschillende stappen die daarin gebruikt worden om te bepalen of een risicoprofiel tot discriminatie leidt op grond van ras of nationaliteit, zijn zeer relevant. Daarvoor hebben zij een beslisboom ontwikkeld.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregeldat-01 - Controleer de datakwaliteitver-01 - Toets het algoritme op biasimp-02 - Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie\u2019 te controleren"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/handreiking-non-discriminatie/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld van het gebruik van de Handreiking non-discriminatie by design op het gebied van algoritmen? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/","title":"Inkoopvoorwaarden","text":"ProbleemanalyseOntwerpJuristProjectleiderBeleid en adviesPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#hulpmiddel","title":"Hulpmiddel","text":"Voorbeelden of templates van inkoopvoorwaarden kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze worden ook wel eens modelcontractbepalingen genoemd. Deze voorwaarden of bepalingen kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#europese-commissie","title":"Europese Commissie","text":"De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#gemeente-amsterdam","title":"Gemeente Amsterdam","text":"De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#ai-module-bij-arbit-2022","title":"AI-module bij ARBIT-2022","text":"De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.
De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT\u2011overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#relevantie","title":"Relevantie","text":"Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregeldat-08 - Zorg dat je controle of eigenaarschap hebt over de dataowp-16 - Laat aanbieder(s) bewijs leveren dat de door hen ontwikkelde algoritmes geen inbreuk maken op de auteursrechten van derden met de trainingsdata en de output.owp-15 - Maak het leveren van bewijs voor het voldoen aan de vereisten voor algoritmes onderdeel van de beoordeling van een inschrijving.owp-13 - Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.owp-23 - Laat de aanbieder aangeven welke mate van opleiding en ondersteuning bij de implementatie nodig is om de beoogde algoritmes verantwoord te gebruiken.2-owp-11-data-beschikbaarheid"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/inkoopvoorwaarden/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/","title":"Discriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader","text":"ProbleemanalyseOntwerpBeleid en adviesJuristBias en non discriminatieFundamentele rechten
Direct naar het Mensenrechtelijk Toetsingskader
Let op!
Dit toetsingskader wordt momenteel vernieuwd. Een nieuwe versie wordt hier gepubliceerd zodra beschikbaar.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/#hulpmiddel","title":"Hulpmiddel","text":"Dit toetsingskader helpt overheidsfunctionarissen om te bepalen wanneer risicoprofielen leiden tot discriminatie op grond van ras of nationaliteit. Het presenteert de (denk)stappen die doorlopen moeten worden om te toetsen of een risicoprofiel binnen de grenzen van het discriminatieverbod blijft. Het is belangrijk om te benadrukken dat het hierbij gaat om de juridische ondergrens van het discriminatieverbod, zoals geformuleerd door internationale en nationale rechters. Aan de regels uit dit toetsingskader moet de overheid zich dus ten minste houden. Dit laat onverlet dat de overheid kan beslissen om strengere regels te hanteren.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/#noot-voor-de-lezer","title":"Noot voor de lezer","text":"Dit toetsingskader is gebaseerd op geldende verdragen, wetten en jurisprudentie tot aan november 2021. De normen en jurisprudentie op dit terrein zijn echter continu in ontwikkeling. Zo heeft het gerechtshof Den Haag in 2023 in een belangrijke uitspraak vastgesteld dat het gebruik van etnische kenmerken als een van de selectiecriteria voor controle, zoals dat plaatsvond binnen het \u2018Mobiel Toezicht Veiligheid\u2019 door de Koninklijke Marechaussee, in strijd is met het discriminatieverbod.
Ook op Europees niveau is er nieuwe relevante jurisprudentie verschenen. Dit alles biedt een verdere aanscherping en concretisering van de geldende normen. Het College werkt daarom op dit moment aan een aangepast en doorontwikkeld toetsingskader waarin alle nieuwe ontwikkelingen worden verwerkt.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/#relevantie","title":"Relevantie","text":"Het spreekt voor zich dat overheidsinstanties zich bij het uitvoeren van hun taken moeten onthouden van discriminatie. Recente voorbeelden zoals de Kinderopvangtoeslagaffaire laten echter zien dat het in de praktijk toch mis kan gaan. Duidelijk is dat discriminerende elementen toch in risicoprofielen voorkomen. Dat heeft er mede mee te maken dat het voor medewerkers van uitvoeringsinstanties niet altijd duidelijk is wat in welke context wel en niet mag.
Er komt daarbij veel kijken bij de beoordeling of een risicoprofiel binnen de grenzen van het discriminatieverbod blijft, zeker wanneer afkomst-gerelateerde kenmerken als selectiecriteria binnen dit risicoprofiel een rol spelen. In alle gevallen zal nauwkeurig afgewogen moeten worden welke kenmerken voor welke doeleinden worden gebruikt en hoe zich dat verhoudt tot het toepasselijke wettelijke kader. Dit toetsings- kader biedt handvatten voor het maken van deze afweging.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/#auteur","title":"Auteur","text":"Het Mensenrechtelijk Toetsingskader is ontwikkeld door het College voor de Rechten van de Mens.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/mensenrechtelijktoetsingskader/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Maatregelver-01 - Toets het algoritme op bias"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/onderzoekskader-adr/","title":"Onderzoekskader algoritmes Auditdienst Rijk 2023","text":"OntwerpImplementatieMonitoring en beheerProjectleiderBeleid en adviesGovernance
Direct naar het Onderzoekskader Algoritmes
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/onderzoekskader-adr/#hulpmiddel","title":"Hulpmiddel","text":"Dit onderzoekskader is een instrument om de beheersing van algoritmes in kaart te brengen. Het geeft inzicht in de risico\u2019s die algoritmes met zich meebrengen en met welke maatregelen deze risico\u2019s beheerst (kunnen) worden.
Het onderzoekskader is in eerste instantie bedoeld als instrument voor auditors om de beheersing en werking van algoritmes binnen overheidsorganisaties te onderzoeken, maar is ook bruikbaar voor andere partijen om inzicht te krijgen in de huidige en/of gewenste beheersing van algoritme(s).
Het kader richt zich op algoritmes die binnen overheidsorganisaties gebruikt worden. Het is ingericht op algoritmes die zelf van voorbeelden leren, zoals machine learning, maar is ook toepasbaar op regelgebaseerde algoritmes. Het kader is ook bruikbaar voor andere organisaties en kan bij verschillende fases van de levenscyclus van een algoritme worden ingezet. Mogelijk zijn niet alle thema\u2019s relevant gezien de context van het algoritme. De opdrachtgever en auditor(s) dienen daarom voorafgaand aan een onderzoek te analyseren en te bepalen welke thema\u2019s en onderwerpen worden onderzocht. Het onderzoekskader is ingedeeld in 4 thema\u2019s:
Ethiek raakt alle thema\u2019s en komt daarom bij elk thema in het kader terug. Elk thema bevat deelgebieden en de risico\u2019s en beheersmaatregelen die daarbij horen (inclusief de bron). Ook deze kunnen weer gerelateerd zijn aan een ander thema. Een apart werkbestand voor auditors is opgesteld wat kan worden gebruikt bij het uitvoeren van een onderzoek. Dit bestand heeft dezelfde opbouw, maar bevat ook invulvelden om als auditor het risico (kans x impact) in te schatten en de bevindingen op te nemen. Daarnaast zijn toelichtingen en voorbeelden van checks en evidence opgenomen per beheersmaatregel.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/onderzoekskader-adr/#relevantie","title":"Relevantie","text":"Het onderzoekskader is ontwikkeld met behulp van nationale en internationale richtlijnen en kaders, rapporten en instrumenten, zoals de Ethics guidelines for trustworthy AI van de Europese Commissie (EC), Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA), de richtlijnen van het ministerie van JenV, het DPIA model Rijksoverheid (gebaseerd op o.a. AVG) en de Guiding Principles Trustworthy AI Investigations van NOREA (beroepsvereniging IT-auditors Nederland). De bron van de betreffende risico\u2019s en beheersmaatregelen is tevens opgenomen.
Dit onderzoekskader is erg overkoepelend (net als het toetsingskader van de Algemene Rekenkamer). Er zijn dan ook veel maatregelen in het Algoritmekader gebaseerd op maatregelen die in het kader van de ADR staan. Bekijk alle maatregelen van het Algoritmekader hier.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/onderzoekskader-adr/#auteur","title":"Auteur","text":"Het Onderzoekskader Algoritmes is ontwikkeld door de Auditdienst Rijk
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/onderzoekskader-adr/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Geen maatregelen beschikbaar voor dit hulpmiddel.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/toetsingskader-algemene-rekenkamer/","title":"Toetsingskader Algoritmes Algemene Rekenkamer","text":"Monitoring en beheerVerificatie en validatieProjectleiderBeleid en adviesJuristGovernance
Direct naar het Toetsingskader
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/toetsingskader-algemene-rekenkamer/#hulpmiddel","title":"Hulpmiddel","text":"Het toetsingskader omvat 5 perspectieven op algoritmes, elk met hun belangrijkste risico's geformuleerd. Het gaat om Sturing en Verantwoordelijkheid, Model en Data, Privacy, IT-beheer en Ethiek. Voor elk risico is er een specifieke onderzoeksvraag opgesteld. Door deze vragen te beantwoorden en een score toe te kennen, krijgt de gebruiker inzicht in hoe goed het gekozen algoritme de risico's beheerst.
De mate van risico voor een specifiek algoritme wordt bepaald door twee factoren: de gebruikte geavanceerde technieken en de impact van het algoritme op de burger.
Het toetsingskader is in eerste instantie bedoeld als toetsinstrument voor auditors (controleurs en toezichthouders). Zij kunnen dit kader gebruiken om de risico's van het beoordeelde algoritme in beeld te krijgen.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/toetsingskader-algemene-rekenkamer/#relevantie","title":"Relevantie","text":"Het digitale toetsingskader 'Aandacht voor algoritmes' is ontwikkeld vanwege de toenemende maatschappelijke aandacht voor algoritmes en de behoefte aan een integraal instrument voor toetsing en analyse. Het is gebaseerd op bestaande informatie en raamwerken, zowel binnen het Rijk als door externe partijen zoals NOREA en grote accountantskantoren.
Dit onderzoekskader is erg overkoepelend (net als het onderzoekskader van de ADR). Er zijn dan ook veel maatregelen in het Algoritmekader gebaseerd op maatregelen die in het kader van de Algemene Rekenkamer staan. Bekijk alle maatregelen van het Algoritmekader hier.
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/toetsingskader-algemene-rekenkamer/#auteur","title":"Auteur","text":"Het Toetsingskader Algoritmes is ontwikkeld door de Algemene Rekenkamer
"},{"location":"voldoen-aan-wetten-en-regels/hulpmiddelen/toetsingskader-algemene-rekenkamer/#bijbehorende-maatregelen","title":"Bijbehorende maatregelen","text":"Geen maatregelen beschikbaar voor dit hulpmiddel.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/","title":"Maatregelen","text":"Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/#alle-maatregelen-zijn-adviezen","title":"Alle maatregelen zijn adviezen","text":"De maatregelen zijn niet verplicht. Het zijn adviezen uit:
Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.
Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.
Tip
Aantal maatregelen verschilt per situatie
Welke maatregelen handig zijn in jouw situatie, hangt af van:
Tip
Met \u00e9\u00e9n maatregel voldoe je soms aan meerdere vereisten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-01-benodigde-expertise-en-capaciteit/","title":"Bepaal of er genoeg experts beschikbaar zijn","text":"org-01OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-01-benodigde-expertise-en-capaciteit/#maatregel","title":"Maatregel","text":"Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en stel vast of er voldoende expertise en capaciteit beschikbaar is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-01-benodigde-expertise-en-capaciteit/#toelichting","title":"Toelichting","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-02-beleid_opstellen_inzet_algoritmes/","title":"Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.","text":"org-04OrganisatieverantwoordelijkhedenBeleid en adviesGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-02-beleid_opstellen_inzet_algoritmes/#maatregel","title":"Maatregel","text":"Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-02-beleid_opstellen_inzet_algoritmes/#toelichting","title":"Toelichting","text":"Een duidelijk beleid over de inzet van algoritmes helpt organisaties te voldoen aan de vereisten voor het verantwoord gebruik ervan. Hierin worden zaken beschreven als:
Hoe de inzet van algoritmes gaat bijdragen aan het realiseren van de organisatiedoelstellingen.
Het beschrijven van de stappen die moeten worden gezet om algoritmes op een verantwoorde wijze in te gaan zetten. Dit is afhankelijk en verschilt per type algoritme en de bijbehorende risicoclassificatie.
Het beschrijven van welke hulpmiddelen in welke gevallen moeten worden ingezet om te voldoen aan de vereisten die gelden voor algoritmes. Hierbij kan worden gedacht aan:
Hoe burgers worden ge\u00efnformeerd over de inzet van algoritmes door de organisatie (communicatiestrategie) en welke kanalen hiervoor kunnen worden gebruikt. Hierbij kan worden gedacht aan:
Er is beschreven welke informatie over welke typen algoritmes wordt gecommuniceerd met betrokkenen bij de ontwikkeling of gebruik ervan door de organisatie.
Er is beschreven welke stappen worden gezetten in het geval dat er incidenten ontstaan rondom de inzet van algoritmes, denk hierbij aan een discriminatieprotocol.
Dit beleidsdocument is beschikbaar en toegankelijk voor ge\u00efnteresseerden.
Zonder duidelijk beleid over de inzet van algoritmes kan het gebeuren dat algoritmes worden ontwikkeld of gebruikt die niet passend zijn binnen de organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-02-beleid_opstellen_inzet_algoritmes/#voorbeelden","title":"Voorbeelden","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-03-toepassen_risicobeheer/","title":"Maak een plan voor het omgaan met risico\u2019s","text":"org-03OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-03-toepassen_risicobeheer/#maatregel","title":"Maatregel","text":"Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-03-toepassen_risicobeheer/#toelichting","title":"Toelichting","text":"Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-03-toepassen_risicobeheer/#risico","title":"Risico","text":"Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-03-toepassen_risicobeheer/#bronnen","title":"Bronnen","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-04-politiek-bestuurlijke-verantwoordelijkheid/","title":"Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.","text":"org-04OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-04-politiek-bestuurlijke-verantwoordelijkheid/#maatregel","title":"Maatregel","text":"Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-04-politiek-bestuurlijke-verantwoordelijkheid/#toelichting","title":"Toelichting","text":"Kleur bekennen - vervolgonderzoek algoritmes
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-04-politiek-bestuurlijke-verantwoordelijkheid/#risico","title":"Risico","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-04-politiek-bestuurlijke-verantwoordelijkheid/#voorbeelden","title":"Voorbeelden","text":"Voorbeeld gemeente Rotterdam
\u00c9\u00e9n van de belangrijkste hoofdconclusies van het rapport Kleur Bekennen van de gemeente Rotterdam, opgesteld door de Algemene Rekenkamer, onderstreept het belang van actief bestuur binnen algoritme- en AI-governance:
\"Het ontbreekt aan een politiek-bestuurlijk kader dat duidelijk maakt welke normen en principes leidend zijn bij de ontwikkeling en het gebruik van algoritmes. Dit heeft als effect dat belangrijke besluit over bijvoorbeeld wenselijkheid, haalbaarheid, transparantie en bias bij de ambtelijke organisatie komen te liggen. Deze besluiten vragen om een politieke afweging\".
De algoritmegovernance van de Gemeente Rotterdam bestaat uit de volgende onderdelen:
Deze stappen volgen kan helpen bij het inrichten van een algoritmegovernance.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/","title":"Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.","text":"org-05OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/#maatregel","title":"Maatregel","text":"Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/#toelichting","title":"Toelichting","text":"Bij de vormgeving van een algoritmegovernance van een organisatie is het van belang om aansluiting en samenwerking te bewerkstelligen met huidige governancestructuren binnen de organisatie, zoals:
IT governance
datagovernance
informatiebeveiliging zoals governance rondom de NIS2 richtlijn
privacygovernance
Deze governancestructuren kunnen waardevolle aanknopingspunten bieden voor algoritmegovernance, omdat hierin vaak al duidelijke afspraken zijn gemaakt en processen zijn geschreven om bijvoorbeeld risico's zo goed mogelijk te managen. In veel organisaties werken bijvoorbeeld privacy- en informatiebeveiliging en informatiebeheerders nauw samen van strategisch organisatieniveau tot operationeel, omdat deze onderwerpen raken aan beide domeinen. Voor een verantwoorde inzet van algoritmes zullen deze expertise moeten gaan samengewerkt met andere expertise, zoals die van data science en ethiek. Het is van belang dat deze expertises tijdig en voldoende ruimte krijgen om samen te werken, zodat de functionele en niet functionele requirements kunnen worden gedefinieerd voor een verantwoorde inzet van algoritmes. Stel vast waar deze expertise elkaar nodig hebben en waar deze zelfstandige taken en verantwoordelijkheden hebben. Voorgaande geeft inzichten om te bepalen in hoeverre algoritmegovernance, naast de bestaande governancestructuren, moet worden ingericht.
De volgende vragen kunnen bedragen om bovenstaande inzichtelijk te krijgen: - Welke lessen zijn geleerd met de implementatie van de AVG of de toepassing van de BIO? - Is er iemand intern verantwoordelijk gemaakt voor (toezicht op) algoritmes? - Hoe werken experts vanuit verschillende onderwerpen zoals privacy, informatiebeheer, informatiebeveiliging en data op dit moment samen als het gaat om de inzet van algoritmes?
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/#risico","title":"Risico","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-05-bestaande-governance/#voorbeelden","title":"Voorbeelden","text":"Een concreet voorbeeld van samen optrekken is deze handreiking om de IAMA en DPIA gezamelijk uit te voeren.
Voorbeeld: Ervaringen Kadaster
Centrale privacy officer Kadaster
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/","title":"Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat","text":"org-06OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/#maatregel","title":"Maatregel","text":"Breng de volwassenheid van je organisatie op het gebied van algoritmes in kaart.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/#toelichting","title":"Toelichting","text":"Er zijn verschillende modellen om het volwassenheidsniveau te bepalen. Deze modellen richten zich niet altijd specifiek op het beheer van algoritmes, maar kijken breder naar algoritmes in de organisatie of naar ethische vraagstukken. Governance is altijd een onderdeel van deze modellen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/#ai-ethics-maturity-model-van-krijger-thuis-de-ruiter-ligthart-broekman-2023","title":"AI ethics maturity model van Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023)","text":"Het AI ethics maturity model van Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023) brengt de volwassenheid op verschillende niveau's in kaart op basis van zes categorie\u00ebn:
Het datavolwassenheidmodel van de Interbestuurlijke Datastrategie (IBDS) kijkt naar hoe goed organisaties omgaan met data. Dit model is ook belangrijk voor kunstmatige intelligentie (AI), omdat data daar een grote rol speelt. Het model heeft een beslishulp datavolwassenheid waarmee bepaald kan worden hoe volwassen een organisatie is met data. IBDS biedt ook een gids met verschillende manieren om de datavolwassenheid in kaart te brengen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/#innovatie-en-volwassenheid","title":"Innovatie en volwassenheid","text":"Het gebruik van algoritmes wordt vaak gezien als een vorm van innovatie. Hoe kan AI helpen bij het ondersteunen van nieuwe idee\u00ebn en het vinden van nieuwe toepassingen? Een voorbeeld van een volwassenheidsmodel over innovatie is de Innovatie Maturity Scan van Innoveren met Impact.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-06-volwassenheidsmodel/#mitre-ai-maturity-model-en-organizational-assessment-tool","title":"MITRE AI Maturity Model en Organizational Assessment Tool","text":"Het AI Maturity Model en de bijbehorende Organizational Assessment Tool zijn ontwikkeld door de Amerikaanse organisatie MITRE. MITRE is een non-profitorganisatie en enigzins vergelijkbaar met het Nederlandse TNO. Dit volwassenheidsmodel onderscheidt een zestal pijlers in de AI volwassenheid van een organisatie en daarbij een vijftal volwassenheidsniveaus. Het volwassenheidsmodel en assessment zijn goed gedocumenteerd.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes\\@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-07-intern-toezicht/","title":"Richt een algoritmegovernance in met three lines of defence","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-07-intern-toezicht/#maatregel","title":"Maatregel","text":"Richt een algoritmegovernance in met three lines of defence.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-07-intern-toezicht/#toelichting","title":"Toelichting","text":"Een inrichting van algoritmegovernance die vaak wordt toegepast is het three lines of defence model:
Schuett (2022) presenteert het three lines of defence model als volgt:
Het toepassen van een 'three lines of defence' is slechts \u00e9\u00e9n aspect van het toepassen van algoritmegoverance.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-07-intern-toezicht/#voorbeelden","title":"Voorbeelden","text":"Onder andere de UWV en de Gemeente Rotterdam hanteren dit model met drie linies. Bij de gemeente Rotterdam zijn bijvoorbeeld de drie lijnen ingevuld via de volgende rollen en verantwoordelijkheden: \u201cDe eerste lijn bestaat uit de proceseigenaren en de operationeel verantwoordelijken. Proceseigenaren zijn verantwoordelijk voor de gehele algoritmetoepassing en de operationeel verantwoordelijken voor de ontwikkeling. De tweede lijn is de algoritme expert, die een onafhankelijke toezicht- en adviestaak heeft. De derde lijn wordt volgens de stukken die gaan over de algoritme governance vervuld door Financial audit.\u201d (Rekenkamer Rotterdam, 2024)
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-08-beslismoment-levenscyclus/","title":"Maak gebruik van beslismomenten in de algoritmelevenscyclus","text":"org-08OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-08-beslismoment-levenscyclus/#maatregel","title":"Maatregel","text":"Maak gebruik van beslismomenten in de levenscyclus van een algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-08-beslismoment-levenscyclus/#toelichting","title":"Toelichting","text":"Hieronder volgen twee voorbeelden van hoe governance effectief kan worden ge\u00efntegreerd in de levenscyclus van algoritmen en AI-modellen:
Ministerie VWS In de levenscyclus
In het hulpmiddel handelingsruimte waardevolle AI in de zorg is tussen elke fase in de levenscyclus een \u2018gate\u2019 geplaatst. Tussen de afronding van een fase en de start van de daaropvolgende fase wordt een formele poort geplaatst. Om door deze poort te gaan, moet de voorgaande fase volledig zijn afgerond: vraagstukken dienen beantwoord te zijn, activiteiten uitgevoerd en aan interne en externe vereisten dient te zijn voldaan. Deze zaken kunnen in de vorm van documentatie aan de organisatie worden opgeleverd, waarna een gesprek of review kan plaatsvinden.
Het vormgeven van deze overgangen geeft verantwoordelijke stakeholders binnen de organisatie een structuur om de ontwikkeling en inzet van algoritmen in elke fase te beoordelen en bij te sturen. De gezamenlijke kernvraag voor alle betrokkenen in de gates is: Geloven we dat de voordelen van de inzet (en ontwikkeling) van dit algoritme opwegen tegen eventueel te verwachten nadelen? En hoe gaan we om met deze dilemma's? Daarbij kunnen opvolgende fasen in de levenscyclus een eigen accentvraag kennen, zoals \u201cIs het beoogde algoritme wenselijk?\u201d in de probleemanalyse fase tot \u201cLevert het algoritme nog de waarde op die we beogen?\u201d tijdens de monitoring- en beheerfase.
Voorbeeld: Het UWV
In haar modellevenscyclus [^3] maakt het UWV gebruik van een gelaagdheid in de \u201cgates\u201d door gebruik te maken van een zachte en harde knip tussen de opvolgende fasen. Enerzijds is er een zachte knip voorzien door aan het eind van elke fase de mogelijkheid te laten om een stap terug te zetten in de levenscyclus. Mocht het onduidelijk zijn wat de beoogde voordelen zijn ten opzichte van de nadelen, of er onvoldoende invulling gegeven is aan de vereisten/activiteiten, dan kan het algoritme of AI-model ontwikkelproces bij een zachte knip een stap terugnemen in de levenscyclus. Anderzijds zijn er 4 harde grenzen in de levenscyclus aangebracht waarin formele vereisten aan het ontwikkeltraject worden opgelegd.
Voorbeeld: BD (Analytische en Cognitieve Technologie - CoE Cognitieve Oplossingen)
Enkele ervaringen m.b.t. levencyclus: Plot sleutelmomenten en mijlpaal momenen in die nodig zijn om het proces te kunnen laten werken en bepaal de requirements die daarmee samenhangen. Richt als eerste een basis (b.v. voor low risk) de AI-governance in op operationeel niveau, implementeer deze basis en stel gaandeweg/ondertussen op basis van o.a. best practices de requirements op naar de \"wereld\" er om heen (tactisch en strategisch niveau).
Voorbeeld: Algoritmeprocesmodel Ministerie van Defensie
Het Ministerie van Defensie heeft een \"algoritmeprocesmodel\" ontwikkeld. Op level 1 is het een levenscyclus zoals ook in het Algoritmekader. Op level 2 wordt ingegaan op de rollen en verantwoordelijkheden. Op level 3 zijn ook formulieren om op specifieke momenten in de AI-levenscyclus de juiste documentatie op te leveren. N.B.: Defensie heeft dit ingericht in Sharepoint, waardoor verantwoordelijken te koppelen zijn aan activiteiten in de levenscyclus.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-09-governance-per-risicocategorie/","title":"Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-09-governance-per-risicocategorie/#maatregel","title":"Maatregel","text":"Richt algoritmegovernance in op basis van de risicoclassificatie van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-09-governance-per-risicocategorie/#toelichting","title":"Toelichting","text":"Dit betekent dat algoritmegovernance uitgebreider moet zijn voor de risicovollere, complexere toepassingen dan voor de eenvoudige, niet-risicovolle toepassingen.
Stel daarom tijdig vast om welk type algoritme het gaat en welke vereisten hiervoor gelden. Dat draagt eraan bij dan alleen wordt gefocust op het realiseren van de vereisten waar daadwerkelijk aan moet worden voldaan. Dit zorgt ervoor dat projecten sneller kunnen worden gerealiseerd.
Geen vereisten beschikbaar voor deze maatregel.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-09-governance-per-risicocategorie/#risico","title":"Risico","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-09-governance-per-risicocategorie/#voorbeelden","title":"Voorbeelden","text":"De gemeente Rotterdam kiest ervoor om de algoritmegovernance alleen in te zetten bij hoog-risico AI-toepassingen. Deze risicoclassificatie volgt de AI-Verordening. Voor laag-risico toepassingen geldt de standaard governance van de gemeente: de informatiebeveiligings- en privacy governance (Kleur Bekennen, Rekenkamer Rotterdam, 2024, p.71). Tabel 1 geeft inzicht in verschillende typen algoritmen en AI-toepassingen. De afbeelding uit hetzelfde rapport geeft een flowchart van hoe de governance anders is afhankelijk van de risico-categorie.
In dit voorbeeld is ook het principe gehanteerd dat naast hoog-risico volgens de AI-verordening, bij ieder algoritme aan de hand van een drietal vragen moet worden besloten of een uitgebreidere algoritmegovernance nodig is. * Is de werking van het algoritme niet volledig \u00e9n beknopt uit te leggen aan een gemiddelde Rotterdammer? * Ontbreekt er een menselijke beoordeling voordat de uitkomst van het algoritme in de praktijk wordt gebracht door middel van een concrete handeling van de gemeente? * Is het voorstelbaar dat de algoritmetoepassing uitmondt in een onrechtvaardige handeling van de gemeente tegen burgers of bedrijven
Kijk zelf goed wat passend is voor jouw organisatie.
Voorbeeld BD (Analytische en Cognitieve Technologie | CoE Cognitieve Oplossingen): * Richt als eerste een basis (b.v. voor low risk) algoritmegovernance in op operationeel niveau, implementeer deze basis en stel gaandeweg/ondertussen op basis van o.a. best practices de requirements op naar de \"wereld\" er om heen (tactisch en strategisch niveau).
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance/","title":"Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance","text":"org-10OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance/#maatregel","title":"Maatregel","text":"Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance/#toelichting","title":"Toelichting","text":"Three lines of defence - diverse organisaties
Het three lines of defence model dat zowel de gemeente Rotterdam als het UWV hanteert biedt hiervoor handvatten. De essentie van dit model is het scheiden van drie niveau\u2019s in verantwoordelijkheden om effectieve governance mogelijk te maken. Daarnaast wordt in veel governance structuren een RACI model opgesteld om rollen en verantwoordelijkheden expliciet te maken.
RACI matrix - diverse organisaties
RACI is de afkorting voor Responsible (Verantwoordelijk \u2013 uitvoerder van de taak), Accountable (Aanspreekbaar \u2013 eigenaar van de taak), Consulted (Geconsulteerd) en Informed (Ge\u00efnformeerd). De gemeente Rotterdam heeft de interactie tussen rollen/verantwoordelijkheden van algoritme/AI governance en de volledige datamanagement structuur in een RACI model vormgegeven (Bron: Kleur bekennen rekenkamer Rotterdam). Wees bewust dat iedere organisatie anders is, en waarschijnlijk op een andere RACI-matrix uitkomt.
Niet alles town down vast te leggen - CoE Belastingdienst
Het te regide vastleggen van functies en bijbehorende taken en verantwoordelijkheden kan nadelen hebben. Een team bij de belastingdienst (Analytische en Cognitieve Technologie | CoE Cognitieve Oplossingen) heeft ervaren dat het definieren van werkpakketten in plaats van uitwerkte functies beter werkt. Alles dient belegd te zijn, maar alles op microniveau vastleggen is vaak niet te doen zonder in de praktijk te staan, en kan avenrechts werken. Wees als algoritmegovernance nog nieuw is zeker in het begin bewust dat inrichting altijd beter kan; ga grondig maar ook flexibel te werk.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-11-gebruikersbeheer/","title":"Maak afspraken over het beheer van gebruikers","text":"org-11OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesTechnische robuustheid en veiligheidGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-11-gebruikersbeheer/#maatregel","title":"Maatregel","text":"Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-11-gebruikersbeheer/#toelichting","title":"Toelichting","text":"Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.
Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:
Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:
Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-11-gebruikersbeheer/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-12-periodieke-evaluatie-kwaliteit/","title":"Controleer en verbeter regelmatig de kwaliteit van het algoritme","text":"org-12OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderBeleid en adviesGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-12-periodieke-evaluatie-kwaliteit/#maatregel","title":"Maatregel","text":"Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-12-periodieke-evaluatie-kwaliteit/#toelichting","title":"Toelichting","text":"Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-12-periodieke-evaluatie-kwaliteit/#risico","title":"Risico","text":"Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-12-periodieke-evaluatie-kwaliteit/#bronnen","title":"Bronnen","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-13-wachtwoordbeheer/","title":"Maak afspraken over het beheer van wachtwoorden","text":"org-13OrganisatieverantwoordelijkhedenProjectleiderOntwikkelaarTechnische robuustheid en veiligheidGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-13-wachtwoordbeheer/#maatregel","title":"Maatregel","text":"Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-13-wachtwoordbeheer/#toelichting","title":"Toelichting","text":"Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:
Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-13-wachtwoordbeheer/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-14-wijzigingenproces/","title":"Maak afspraken over het wijzigen van de code","text":"org-14OrganisatieverantwoordelijkhedenProjectleiderOntwikkelaarTechnische robuustheid en veiligheidGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-14-wijzigingenproces/#maatregel","title":"Maatregel","text":"Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-14-wijzigingenproces/#toelichting","title":"Toelichting","text":"Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:
Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-14-wijzigingenproces/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-15-discriminatieprotocol/","title":"Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.","text":"imp-10OrganisatieverantwoordelijkhedenImplementatieProjectleiderBeleid en adviesBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-15-discriminatieprotocol/#maatregel","title":"Maatregel","text":"Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-15-discriminatieprotocol/#toelichting","title":"Toelichting","text":"De inzet van algoritme kan onbedoeld leiden tot discriminerende effecten. Het is van belang om als organisatie een protocol te hebben vastgesteld waarin is uitgewerkt hoe wordt omgegaan met situaties waarin (een vermoeden van) discriminatie door een algoritme is geconstateerd. In een dergelijk protocol kunnen de handelingen worden beschreven die moeten worden uitgevoerd om deze situatie te gaan herstellen. Het vaststellen van een dergelijk protocol geeft ontwikkelaar en gebruikers (vooraf) duidelijkheid wat van hen wordt verwacht en wat zij kunnen doen om discriminatie door algoritmes te voorkomen. Een voorbeeld hiervan is het analyseren van de data op datakwaliteit en bias in de data en toets regelmatig je algoritmisch systeem op bias.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een discriminatieprotocol opgesteld wat organisaties handvatten biedt.
Een discriminatieprotocol kan de volgende stappen bevatten:
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/0-org-15-discriminatieprotocol/#stap-1-vermoeden-van-onrechtmatigheid","title":"Stap 1: Vermoeden van onrechtmatigheid","text":"Een vermoeden van bevooroordeeldheid of discriminatie kan vanuit verschillende partijen gemeld worden. Signalen hiervoor kunnen worden ontvangen vanuit de interne organisatie, bijvoorbeeld door de betrokken ontwikkelaars, gebruikers of beheerders, of door externe partijen, zoals belanghebbenden, toezichthouder, journalisten.
Het is van belang om inzicht en overzicht te krijgen over de oorzaak en de gevolgen van eventuele discriminerende effecten van het algoritme. Daarvoor kan worden gedacht aan het uitvoeren van een bias analyse.
Bepaal welke mitigerende maatregelen er genomen moeten worden. Als er in het onderzoek is vastgesteld dat er sprake is van discriminatie, dan moet het betreffende systeem worden stopgezet. Hierbij kan je denken aan:
De conclusies van de eerdere stappen moeten, indien nodig, worden gemeld bij de betreffende instanties. De eventuele gedupeerde burgers dienen te worden ge\u00efnformeerd over de gevolgen.
Informeer de betrokken burgers over de sitatie. Maak indien nodig excuses en geef de mensen die (mogelijk) geraakt zijn uitleg zodat zij:
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-01-formuleren-probleemdefinitie/","title":"Beschrijf het probleem dat het algoritme moet oplossen","text":"pba-01ProbleemanalyseProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-01-formuleren-probleemdefinitie/#maatregel","title":"Maatregel","text":"Formuleer en documenteer wat de aanleiding is om een algoritme in te willen zetten. Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-01-formuleren-probleemdefinitie/#toelichting","title":"Toelichting","text":"Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-01-formuleren-probleemdefinitie/#risico","title":"Risico","text":"Het algoritme dient niet het onderliggende probleem. Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-01-formuleren-probleemdefinitie/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-02-formuleren-doelstelling/","title":"Beschrijf het doel van het algoritme","text":"pba-02ProbleemanalyseProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-02-formuleren-doelstelling/#maatregel","title":"Maatregel","text":"Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-02-formuleren-doelstelling/#toelichting","title":"Toelichting","text":"Het doel van de inzet van een algoritme dient zo concreet en specifiek mogelijk gedefinieerd te worden. Indien er meerdere doelen zijn, is het belangrijk om een zekere rangorde te maken: wat zijn de belangrijkste doelen? En waarom? Welke doelen zijn subdoelen, waarvoor het minder belangrijk is om deze te realiseren?
Indien mogelijk, dienen de doelstellingen gekwantificeerd te worden (SMART).
Om te zorgen voor voldoende draagvlak voor de beoogde doelen, is het noodzaak om voldoende belanghebbenden te betrekken. Hierbij kan het ook helpen om burgers te betrekken bij de totstandkoming van de doelstellingen, bijvoorbeeld door middel van een burgerpanel of het betrekken van belangengroepen.
Het algoritme dient niet het beoogde doel en onderliggend probleem. Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. Er is dan een groter risico op fouten en/of verschillen in interpretatie.
Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. Doelstellingen zijn in dat geval moeilijk bespreekbaar.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-02-formuleren-doelstelling/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-03-onderbouwen-gebruik-algoritme/","title":"Beschrijf waarom een algoritme het probleem moet oplossen","text":"pba-03ProbleemanalyseProjectleiderGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-03-onderbouwen-gebruik-algoritme/#maatregel","title":"Maatregel","text":"Bepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-03-onderbouwen-gebruik-algoritme/#toelichting","title":"Toelichting","text":"Bepaal waarom het gewenst of nodig is om een algoritme in te zetten, en of er ook alternatieven zijn om het probleem op te lossen. Documenteer de onderbouwing waarom een algoritme een betere oplossing zou bieden dan een niet-geautomatiseerd of niet-digitaal proces.
Maak een bewuste afweging of een algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen, en documenteer deze afweging.
Beoordeel of de gewenste oplossing is toegestaan op grond van de AI-Verordening.
Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-03-onderbouwen-gebruik-algoritme/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-04-betrek-belanghebbenden/","title":"Overleg regelmatig met belanghebbenden","text":"pba-04ProbleemanalyseOntwerpImplementatieProjectleiderGovernanceFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-04-betrek-belanghebbenden/#maatregel","title":"Maatregel","text":"Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-04-betrek-belanghebbenden/#toelichting","title":"Toelichting","text":"Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus. Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.
In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografie\u00ebn worden geraakt door een algoritme? Bij wie liggen de voordelen en bij wie liggen de nadelen? Ga in gesprek met deze belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Zij kunnen waardevolle inzichten en wensen delen, wat kan bijdragen aan een betere werking van het algoritme.
Enkele voorbeelden hierbij zijn: - Het betrekken van burgers bij het ontwerpen van een algoritme in de ontwerpfase. - Het bespreken welke definitie en metriek van fairness past bij de context met de proceseigenaar en een ethicus. - Het betrekken van domeinexperts in de fase van dataverkenning en datapreparatie, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. - Het betrekken van eindgebruikers bij het ontwikkelen en het implementeren van het algoritme. - Het betrekken van belanghebbenden bij het monitoren en evalueren van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-04-betrek-belanghebbenden/#bronnen","title":"Bronnen","text":"Het niet betrekken van belanghebbenden bij de ontwikkeling en het gebruik van algoritmes, kan ertoe leiden dat belangrijke inzichten of perspectieven niet worden verwerkt en het algoritme onjuist gaat functioneren.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-04-betrek-belanghebbenden/#voorbeeld","title":"Voorbeeld","text":"Er zijn veel verschillende methoden om belanghebbenden te betrekken. Zo kan je bijvoorbeeld werken met persona\u2019s of \u2018empathy maps\u2019 maken. Ook kan je focusgroepen houden. Denk dan bijvoorbeeld aan een burgerpanel.
Andere methoden zijn: Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-05-wettelijke-grondslag/","title":"Beschrijf de wettelijke grondslag voor de inzet van het algoritme","text":"pba-05ProbleemanalyseJuristGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-05-wettelijke-grondslag/#maatregel","title":"Maatregel","text":"Beschrijf de wettelijke grondslag voor de inzet van het algoritme en de beoogde besluiten die genomen zullen worden op basis van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-05-wettelijke-grondslag/#toelichting","title":"Toelichting","text":"Het algoritme en beoogde besluiten voldoen niet aan wet- en regelgeving en intern beleid en kaders.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/1-pba-05-wettelijke-grondslag/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-01-rollen-en-verantwoordelijkheden/","title":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes","text":"owp-01OntwerpImplementatieMonitoring en beheerProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-01-rollen-en-verantwoordelijkheden/#maatregel","title":"Maatregel","text":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes. De rollen en verantwoordelijkheden worden vastgesteld door de verantwoordelijke(n).
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-01-rollen-en-verantwoordelijkheden/#toelichting","title":"Toelichting","text":"Een re\u00ebel risico is dat bepaalde groepen en belanghebbenden over het hoofd worden gezien tijdens het ontwikkelproces van een algoritme. Daarom is het noodzakelijk om al vroeg in kaart te brengen welke groepen allemaal een mening over het beoogde algoritme kunnen hebben.
Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme. Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang.
Om deze reden kan het handig zijn om een matrix van belanghebbenden op te stellen. Deze matrix kan in verdere fases helpen wanneer belanghebbenden betrokken moeten worden. In deze matrix kunnen de volgende onderdelen staan:
Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Ge\u00efnfomeerd) te bepalen. Werk specifieke, gevoelige activiteiten nader uit te in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-01-rollen-en-verantwoordelijkheden/#vaststellen-van-rollen-en-verantwoordelijkheden","title":"Vaststellen van rollen en verantwoordelijkheden","text":"De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten. Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-01-rollen-en-verantwoordelijkheden/#bronnen","title":"Bronnen","text":"owp-11OntwerpProjectleiderBeleid en adviesPublieke inkoopData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-02-data-beschikbaarheid/#maatregel","title":"Maatregel","text":"Voer voorafgaand aan een project een data beschikbaarheids- en datakwaliteitsanalayse uit.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-02-data-beschikbaarheid/#toelichting","title":"Toelichting","text":"Towards a Systematic Understanding on the Challenges of Procuring Artificial Intelligence in the Public Sector
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-02-data-beschikbaarheid/#risico","title":"Risico","text":"Het zou kunnen voorkomen dat de data niet beschikbaar is en ook niet gaat worden. Dit betekent dat een algoritme ook niet goed gemaakt of gebruikt kan worden. Ook is het belangrijk om te checken of de data beschikbaar blijft als dat nodig is voor het functioneren van het algoritme (bijv. voor het bijleren). Ook bestaat er een risico dat als de data van onvoldoende kwaliteit is, het algoritme niet goed gaat werken. Wanneer niet vooraf bepaald is of de data beschikbaar is en van voldoende kwaliteit kan het gebeuren dat er wel een algoritme gemaakt wordt door een derde partij, maar deze vervolgens niet gebruikt kan worden binnen de organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-03-doel-verwerken-persoonsgegevens/","title":"Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag","text":"owp-03OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProjectleiderJuristPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-03-doel-verwerken-persoonsgegevens/#maatregel","title":"Maatregel","text":"Het doel voor het verwerken van persoonsgegevens met een algoritme is welbepaald en omschreven.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-03-doel-verwerken-persoonsgegevens/#toelichting","title":"Toelichting","text":"Persoonsgegevens mogen alleen worden verwerkt voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De wettelijke grondslag voor de verwerking van de persoonsgegevens moet zijn beschreven.
De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van een algoritme moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding). Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.
Stel een overzicht op waarin is beschreven welke persoonsgegevens mogen worden verwerkt. Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat. Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme. Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.
Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd. Denk hierbij aan het anonimiseren, pseudonomiseren, aggregeren van de persoonsgegevens.
Gebruik een DPIA om bovenstaande zaken te beschrijven.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-03-doel-verwerken-persoonsgegevens/#risico","title":"Risico","text":"Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-03-doel-verwerken-persoonsgegevens/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-04-gebruikte-techniek/","title":"Beschrijf welke techniek gebruikt wordt voor de beoogde toepassing","text":"owp-04OntwerpOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-04-gebruikte-techniek/#maatregel","title":"Maatregel","text":"Beschrijf welke techniek gebruikt wordt voor de beoogde toepassing.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-04-gebruikte-techniek/#toelichting","title":"Toelichting","text":"Bepaal of je gebruik wilt maken van een:
Beschrijf vervolgens ook:
De precieze details kunnen in dit stadium van de levenscyclus waarschijnlijk nog niet ingevuld worden. Maak een goede eerste inschatting van de gebruikte techniek. Eventueel kan je er ook voor kiezen om verschillende technieken verder te onderzoeken. Dat betekent dat er meerdere algoritmes ontwikkeld worden (op basis van verschillende technieken), en je later een definitieve keuze maakt.
Het is belangrijk om uiteindelijk een passend uitlegbaar algoritme te selecteren voor de context waarin het wordt toegepast. Daarin moet de afweging gemaakt worden of de technische uitlegbaarheid voldoende is in de context die de inzet van het algoritme vereist. Hierbij kan ook de conclusie worden getrokken dat een simpeler, inzichtelijker algoritme de voorkeur krijgt.
Impact Assessment Mensenrechten en Algoritmes, 2A.1, 2B.1
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-05-soort-algoritme/","title":"Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horen","text":"owp-05OntwerpOntwikkelenProjectleiderBeleid en adviesPublieke inkoopGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-05-soort-algoritme/#maatregel","title":"Maatregel","text":"Stel vast om wat voor type algoritme het gaat en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-05-soort-algoritme/#toelichting","title":"Toelichting","text":"Het verschilt per type algoritme welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecre\u00eberd tussen opdrachtgever en opdrachtnemer/aanbieder.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-05-soort-algoritme/#bronnen","title":"Bronnen","text":"Algoritmekader
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-05-soort-algoritme/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-06-afwegen-grondrechten/","title":"Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafweging","text":"owp-06ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderBeleid en adviesFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-06-afwegen-grondrechten/#maatregel","title":"Maatregel","text":"Identificeer welke grondrechten geraakt worden door het in te zetten algoritme en maak een afweging of dit aanvaardbaar is
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-06-afwegen-grondrechten/#toelichting","title":"Toelichting","text":"Een algoritme kan invloed hebben op grondrechten. Op een aantal grondrechten kan een algoritme sneller invloed hebben, zoals recht op persoonsgegevensbescherming, recht op behoorlijk bestuur en recht op gelijke behandeling. Deze veelvoorkomende grondrechten krijgen op andere plekken in het Algoritmekader specifieke aandacht. Er zijn echter ook grondrechten die bij minder algoritmen relevant zijn, maar desalniettemin in die gevallen zeer invloedrijk kunnen zijn. Het is van belang uiteindelijk een totale afweging te maken van alle grondrechten die (mogelijk) geraakt worden ten opzichte van de voordelen van het in te zetten algoritme. Een voorbeeld van een grondrecht dat minder snel geraakt wordt is bijvoorbeeld een algoritme om hate speech te kunnen detecteren. Zo'n algoritme zal van invloed kunnen zijn op de vrijheid van meningsuiting en het recht op informatie.
Doorloop in lijn met Deel 4 van het Impact Assessment Mensenrechten en Algoritmes de volgende stappen:
Het is van belang voldoende belanghebbenden te betrekken bij het doorlopen van deze stappen om te zorgen dat alle eventueel nadelige aspecten van het in te zetten algoritme worden meegenomen. Documenteer de doorlopen stappen en leg de keuzes en afwegingen goed vast.
Opmerking
Zoals vermeld in de vereiste voor beoordeling van gevolgen voor grondrechten uit de AI-verordening moeten sommige hoog-risico AI-systemen een beoordeling doen van de gevolgen voor grondrechten. Het is nog niet bekend welke vorm dit precies moet hebben.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-06-afwegen-grondrechten/#bronnen","title":"Bronnen","text":"Het risico is dat er grondrechten, anders dan die expliciet beschermd zijn in andere maatregelen en vereisten, aangetast worden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-06-afwegen-grondrechten/#voorbeeld","title":"Voorbeeld","text":"Hoofdstuk 4 van het Impact Assesment Mensenrechten en Algoritmen (IAMA) richt zich specifiek op de grondrechten. In bijlage 1 is tevens een overzicht te vinden van mogelijk relevante grondrechten.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-07-kwetsbare-groepen/","title":"Maak een lijst van de meest kwetsbare groepen en bescherm hen extra","text":"owp-07OntwerpBeleid en adviesFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-07-kwetsbare-groepen/#maatregel","title":"Maatregel","text":"Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-07-kwetsbare-groepen/#toelichting","title":"Toelichting","text":"De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-07-kwetsbare-groepen/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-08-archiveren-documenten/","title":"Bepaal welke documenten voor hoe lang gearchiveerd moeten worden","text":"owp-08OntwerpOntwikkelenOntwikkelaarProjectleiderJuristTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-08-archiveren-documenten/#maatregel","title":"Maatregel","text":"Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde. Bepaal de bijbehorende bewaartermijnen vast voor de archiefbescheiden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-08-archiveren-documenten/#toelichting","title":"Toelichting","text":"Tip
Formeer hierbij een multi-discipinaire groep (bestaande uit bijvoorbeeld een inkoper, ontwikkelaar, data scientist, proceseigenaar en archiefdeskundige) om deze maatregel toe te passen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-08-archiveren-documenten/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding/","title":"Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt","text":"owp-09OntwerpMonitoring en beheerProjectleiderBeleid en adviesPublieke inkoopPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding/#maatregel","title":"Maatregel","text":"Inventariseer of er mogelijk sprake is van een algoritme dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding/#toelichting","title":"Toelichting","text":"Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding/#bronnen","title":"Bronnen","text":"Algoritmekader
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-multidisciplinair-inkoopteam/","title":"Stel een multidisciplinair team samen bij het ontwikkelen of inkopen van algoritmes.","text":"owp-09OntwerpProjectleiderBeleid en adviesPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-multidisciplinair-inkoopteam/#maatregel","title":"Maatregel","text":"Stel een multidisciplinair team samen bij het ontwikkelen of inkopen van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-multidisciplinair-inkoopteam/#toelichting","title":"Toelichting","text":"Zonder een multidisciplinair team is het waarschijnlijk dat belangrijke aspecten voor een verantwoorde inzet van algoritmes niet worden geadresseerd en ongewenste algoritmes worden ontwikkeld of ingekocht.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-09-multidisciplinair-inkoopteam/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-10-projectstartarchitectuur/","title":"Maak een Project Startarchitectuur (PSA) voor de ontwikkeling of inkoop van algoritmes","text":"owp-10OntwerpOntwikkelenVerificatie en validatieImplementatieProjectleiderBeleid en adviesTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-10-projectstartarchitectuur/#maatregel","title":"Maatregel","text":"Voer een Project Startarchitectuur (PSA) uit als algoritmes worden ontwikkeld of ingekocht.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-10-projectstartarchitectuur/#toelichting","title":"Toelichting","text":"Het algoritme kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-10-projectstartarchitectuur/#bronnen","title":"Bronnen","text":"owp-11OntwerpProjectleiderBeleid en adviesPublieke inkoopDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#maatregel","title":"Maatregel","text":"Kies softwareoplossingen van aanbieders die duurzaamheid bevorderen, en stel heldere eisen aan energieverbruik, hernieuwbare energiebronnen en transparantie over de milieuprestaties van software.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#toelichting","title":"Toelichting","text":"Door software duurzaam in te kopen, kun je als organisatie al vroeg in het ontwikkelproces bijdragen aan de verduurzaming van je algoritmes. Kies daarom softwareoplossingen van aanbieders die maatschappelijk verantwoord ondernemen (MVI) en energie-effici\u00ebntie vooropstellen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#duurzaamheidscriteria-en-selectie-van-aanbieders","title":"Duurzaamheidscriteria en selectie van aanbieders","text":"Om software duurzaam in te kopen, kun je aanbieders beoordelen op specifieke duurzaamheidscriteria. Enkele belangrijke criteria zijn:
Vraag om inzicht in milieuprestaties en certificeringen, zoals ISO-14001, om de toewijding van aanbieders aan duurzaamheid te toetsen. De ISO-14001 is een internationaal geaccepteerde standaard met eisen voor een milieumanagementsysteem.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#inkoopvoorwaarden-en-contractuele-eisen","title":"Inkoopvoorwaarden en contractuele eisen","text":"Stel bij het inkopen duidelijke eisen aan duurzaamheidscriteria, zoals het gebruik van \"groene technologie\u00ebn\", het aanbieden van Software-as-a-Service (SaaS) en open standaarden. Zo maak je duurzame keuzes die bijdragen aan een langere levensduur en energie-effici\u00ebntie van je algoritmes. Door KPI\u2019s op te nemen voor energie-effici\u00ebntie en CO\u2082-reductiedoelen kun je de voortgang van deze doelen concreet monitoren. Je kunt deze voorwaarden opnemen als standaard inkoopvoorwaarden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#bonus-malusregeling-en-monitoring","title":"Bonus-malusregeling en monitoring","text":"Om naleving van duurzame doelstellingen te stimuleren, kun je een bonus-malusregeling inzetten. Aanbieders ontvangen een bonus wanneer zij duurzame doelstellingen halen, en kunnen worden aangesproken als beloofde duurzaamheidsnormen niet worden behaald. Monitoring via jaarlijkse rapportages helpt om de voortgang van de duurzaamheidsdoelen te evalueren en, indien nodig, bij te sturen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#extra-overwegingen","title":"Extra overwegingen","text":"Extra overwegingen die je kunt maken bij het aankopen van algoritmes, zoals genoemd in de handreiking 'Hoe maak ik mijn inkoop van software duurzamer?' van PIANOo:
Zonder duurzaamheidscriteria bij het inkopen van software loop je het risico op hogere energie- en kostenlasten, en beperk je de mogelijkheden om duurzaamheidsdoelstellingen te halen bij je algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-duurzaam-inkopen/#bronnen","title":"Bronnen","text":"owp-02OntwerpDataverkenning en datapreparatieOntwikkelaarBeleid en adviesData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-gebruikte-data/#maatregel","title":"Maatregel","text":"Beschrijf welke data gebruikt wordt voor de beoogde toepassing.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-11-gebruikte-data/#toelichting","title":"Toelichting","text":"owp-12OntwerpOntwikkelenProjectleiderPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-bespreek-vereisten-met-aanbieders/#maatregel","title":"Maatregel","text":"Bespreek de vereiste die gelden voor een verantwoorde inzet van algoritmes met een aanbieder.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-bespreek-vereisten-met-aanbieders/#toelichting","title":"Toelichting","text":"Ga met een aanbieder in gesprek over in hoeverre zij invulling kunnen geven aan de vereisten die gelden voor een verantwoorde inzet van algoritmes. Dit kan worden gedaan bijvoorbeeld bij een informatiesessie met aanbieders voorafgaand aan een aanbesteding.
Op basis van nieuwe of gewijzigde wet- en regelgeving of de totstandkoming van nieuwe standaard, is het denkbaar dat aanbieders van algoritmes nog niet of niet meer voldoet aan deze vereisten. Het is van belang om deze inzichten bijvoorbeeld tijdens een aanbesteding worden verkregen. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-bespreek-vereisten-met-aanbieders/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-bespreek-vereisten-met-aanbieders/#risico","title":"Risico","text":"Door de vereisten voor een verantwoorde inzet van algoritmes niet te bespreken met aanbieders, is het voor hen (deels) onduidelijk aan welke vereisten diens algoritmes moet voldoen om te kunnen contractueren met overheidsorganisaties.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-bespreek-vereisten-met-aanbieders/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/","title":"Ontwerp algoritmes zo eenvoudig mogelijk","text":"owp-12OntwerpOntwikkelenOntwikkelaarDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#maatregel","title":"Maatregel","text":"Ontwerp algoritmes gericht op eenvoud en effici\u00ebntie, zodat het energieverbruik en de benodigde rekenkracht tijdens gebruik minimaal blijven.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#toelichting","title":"Toelichting","text":"Complexe algoritmes vereisen vaak aanzienlijke rekenkracht, wat energie-intensief kan zijn. Door algoritmes minder complex en rekenintensief te ontwerpen, verlaag je de benodigde middelen en energie bij het trainen en uiteindelijk toepassen van deze algoritmes. Een effici\u00ebnter ontwerp maakt de algoritmes energiezuiniger in de trainings- en gebruiksfase en draagt zo bij aan duurzaamheid in de gehele levenscyclus.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#modellen-vereenvoudigen-en-focussen-op-kernfunctionaliteit","title":"Modellen vereenvoudigen en focussen op kernfunctionaliteit","text":"Wanneer je een nieuw algoritme ontwikkelt, kun je de omvang en rekenbelasting beperken door alleen noodzakelijke functionaliteit op te nemen. Focus op de kernfunctionaliteit, zodat je gebruik maakt van een kleiner model dat beter te begrijpen en gemakkelijker te beheren is. Het vermijden van overbodige functionaliteiten maakt het algoritme minder zwaar en verlaagt de milieu-impact aanzienlijk.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#minder-complexiteit-door-divide-and-conquer-en-dynamisch-programmeren","title":"Minder complexiteit door divide-and-conquer en dynamisch programmeren","text":"Een populaire methode om complexiteit te verlagen is het divide-and-conquer principe, waarbij je een grote algoritmische berekening opsplitst in kleinere, overzichtelijke deelberekeningen en deze vervolgens oplost (je splitst hierbij het technische probleem in meerdere kleinere problemen). Dit vermindert de rekenlast aanzienlijk en verhoogt de effici\u00ebntie. Ook kun je met dynamisch programmeren optimalisaties toevoegen door eerder berekende resultaten op te slaan en te hergebruiken, wat herhaling van berekeningen voorkomt en de rekenkracht vermindert.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#minder-complexiteit-door-modeloptimalisatie","title":"Minder complexiteit door modeloptimalisatie","text":"Ontwerpen zonder oog voor effici\u00ebntie kan leiden tot energie-intensieve algoritmes die hoge kosten en milieubelasting met zich meebrengen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#-what-is-knowledge-distillation-ibm","title":"- What is knowledge distillation? (IBM)","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-12-eenvoudigere-algoritmes/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst/","title":"Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.","text":"owp-13OntwerpProjectleiderBeleid en adviesPublieke inkoopTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst/#maatregel","title":"Maatregel","text":"Maak vereisten voor algoritmes onderdeel van contractvoorwaarden en de contractovereeenkomst.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst/#toelichting","title":"Toelichting","text":"Door de vereisten voor een verantwoorde inzet van algoritmes niet te communiceren met aanbieders, is het voor hen (deels) onduidelijk aan welke vereisten diens algoritmes moet voldoen om te kunnen contractueren met overheidsorganisaties.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding/","title":"Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.","text":"owp-14OntwerpMonitoring en beheerProjectleiderBeleid en adviesPublieke inkoopPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding/#maatregel","title":"Maatregel","text":"Het opstellen van een verwerkersovereenkomst met aanbieder is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt of noodzakelijk zijn voor het trainen of genereren van output door algoritmes van aanbieder.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding/#toelichting","title":"Toelichting","text":"Een verwerkersovereenkomst moet worden opgesteld als persoonsgegevens worden verwerkt voor het trainen of het genereren van output door algoritmes van aanbieder. Met een verwerkersovereenkomst worden een aantal afspraken schriftelijk vastgelegd het bij de verwerking van persoonsgegevens. Het gaat om de volgende zaken:
Algemene beschrijving. Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorie\u00ebn van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
Instructies voor de verwerking. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. Geheimhoudingsplicht. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. Beveiliging. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Subverwerkers. De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat de verwerker subverwerkers mag inschakelen en onder welke voorwaarden. Komt de subverwerker de verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (artikel 28, vierde lid, van de AVG).
Privacyrechten. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, verwijdering en dataportabiliteit).
Andere verplichtingen. De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Gegevens verwijderen. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt de verwerker de gegevens aan u terug, als u dat wilt. Ook verwijdert de verwerker kopie\u00ebn. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG).
Verwerkersovereenkomst
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding/#risico","title":"Risico","text":"Er is sprake van een onrechtmatige verwerking van persoonsgegevens als geen verwerkersovereenkomst is opgesteld tussen de verwerker en de verwerkingsverantwoordelijke.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/","title":"Maak het leveren van bewijs voor het voldoen aan de vereisten voor algoritmes onderdeel van de beoordeling van een inschrijving.","text":"owp-15OntwerpProjectleiderBeleid en adviesPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/#maatregel","title":"Maatregel","text":"Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/#toelichting","title":"Toelichting","text":"Het leveren van bewijs door aanbieder dat de ontwikkelde algoritmes voldoen aan de vereisten, draagt bij aan het kunnen beoordelen of een aanbieder geschikt is om mee te contracteren. Bij het leveren van bewijs kan worden gedacht aan het overhandigen van bijvoorbeeld een certificaat of een EU-conformiteitsverklaring voor hoog risico AI-systemen.
Daarbij is het relevant om te beoordelen in hoeverre er is voldaan aan geharmoniseerde standaarden. Deze standaarden zijn momenteel in ontwikkeling. In de (nabije) toekomst zal dit naar verwachting op een vergelijkbare manier kunnen worden benaderd als bij het moeten leveren van een NEN-ISO 27001 certificaat (voldoen aan informatiebeveiligingsvereisten) door een leverancier.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/#risico","title":"Risico","text":"Er wordt gecontracteerd met een aanbieder die niet voldoet aan de vereisten voor een verantwoorde inzet van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/","title":"Laat aanbieder(s) bewijs leveren dat de door hen ontwikkelde algoritmes geen inbreuk maken op de auteursrechten van derden met de trainingsdata en de output.","text":"owp-16Dataverkenning en datapreparatieVerificatie en validatieProjectleiderBeleid en adviesPublieke inkoopData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#maatregel","title":"Maatregel","text":"Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden met de trainingsdata en output van diens algoritme van bijvoorbeeld een aanbesteding.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#toelichting","title":"Toelichting","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#trainingsdata","title":"Trainingsdata","text":"Algoritmes worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.
Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijk beschermde werken ter training van algoritmes (waarschijnlijk) als kopi\u00ebren geldt: een handeling die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmes het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen welke maatregelen er zijn getroffen om dit te voorkomen en ga hier eventueel over in gesprek. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen welke maatregelen er zijn getroffen om dit te voorkomen. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#risicomanagement","title":"Risicomanagement","text":"Het is van belang dat de (rest)risico's inzichtelijk zijn gemaakt als er sprake is van een (potenti\u00eble) schending van auteursrechten. Laat een aanbieder deze risico's inzichtelijk maken, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is. Beoordeel of deze rest(risico's) acceptabel zijn.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#contractovereenkomst","title":"Contractovereenkomst","text":"Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de trainingsdata of output van het algoritme en dat aanbieder dit gedurende de ontwikkeling en levensduur actief bewaakt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#bronnen","title":"Bronnen","text":"Dat wordt gecontracteerd met een aanbieder waarbij niet kan worden uitgesloten dat auteursrechten worden geschonden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder/","title":"Aansprakelijkheidsvoorwaarden van een aanbieder worden beoordeeld in de aanbesteding","text":"owp-17OntwerpImplementatieJuristBeleid en adviesPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder/#maatregel","title":"Maatregel","text":"Maak de aansprakelijkheidsvoorwaarden die een aanbieder stelt ten aanzien van auteursrechten een vast onderdeel om te beoordelen in de aanbesteding.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder/#toelichting","title":"Toelichting","text":"Eindgebruikers van algoritmes kunnen er niet altijd op vertrouwen, of (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme laten genereren, inbreuk maakt op rechten van anderen. Het is onwenselijk dat een eindgebruiker aansprakelijk wordt gesteld voor het maken van een inbreuk op rechten van derden, als deze gebruik maakt van algoritmes die worden aangeboden door aanbieders. Organisatie moeten daarom afspraken hierover maken met aanbieders.
Hoe groot de kans is dat eindgebruikers vanwege het gebruik van algoritmes aansprakelijk worden gesteld, is nog onduidelijk. Er zijn wel voorbeelden waarbij eindgebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.
Op dit moment zijn (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk zijn gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmes in hun algemene voorwaarden het risico voor aansprakelijkheid volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.
Het is daarom van belang om een beoordeling te maken in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend zijn. Maak een jurist onderdeel van de beoordeling.
Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder/#risico","title":"Risico","text":"Er wordt gecontracteerd met een aanbieder die ongewenste aansprakelijkheidsvoorwaarden hanteert.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria/","title":"Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding.","text":"owp-18OntwerpOntwikkelaarPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria/#maatregel","title":"Maatregel","text":"Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria/#toelichting","title":"Toelichting","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-19-ruimte-voor-samenwerking-met-aanbieder/","title":"Cre\u00eber ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren","text":"owp-19OntwerpOntwikkelenProjectleiderPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-19-ruimte-voor-samenwerking-met-aanbieder/#maatregel","title":"Maatregel","text":"Cre\u00eber ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te gaan realiseren.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-19-ruimte-voor-samenwerking-met-aanbieder/#toelichting","title":"Toelichting","text":"Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat opdrachtgever en aanbieder (innovatief) moeten gaan samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) of geharmoniseerde standaarden kunnen aanbieders mogelijk nog niet voldoen aan nieuwe vereisten. Het kan ook onduidelijk zijn hoe moet worden voldaan aan vereisten nu de technologie zich snel ontwikkelt of dat de specifieke omstandigheden van het beoogde gebruik vragen om een samenspel tussen opdrachtgever en aanbieder.
Bij een verantwoorde inzet van algoritmes kan het bij vereisten zoals non-discriminatie, transparantie, menselijke controle en grondrechten van belang zijn om samen te onderzoeken hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen om welke onderwerpen dit mogelijk van toepassing is. Bij een marktverkenning of informatiesessie kan worden verkend hoe aanbieders ervoor staan. Op basis hiervan kan worden beoordeeld in hoeverre bijvoorbeeld in een aanbesteding contractuele ruimte moet worden gecre\u00eberd voor opdrachtgever en aanbieder om hieraan te werken.
Door niet te kunnen samenwerken aan vereisten, kan de situatie ontstaan dat uiteindelijk niet op een betekenisvolle manier wordt voldaan aan deze vereisten voor een verantwoorde inzet van algoritmes. Gebrek aan samenwerking kan leiden tot onvermogen om de benodigde vereisten voldoende in de praktijk te garanderen. Ook is het belangrijk dat de verantwoordelijke goed genoeg begrijpt hoe het algoritme werkt en welke keuzes er gemaakt zijn tijdens het ontwerp, omdat alleen dan goed beoordeeld kan worden welke vereisten zijn voldaan en welke risico\u2019s nog niet of minder goed zijn afgedekt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-19-ruimte-voor-samenwerking-met-aanbieder/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie/","title":"Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke.","text":"owp-20OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoopTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie/#maatregel","title":"Maatregel","text":"Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke, zodat het alle relevante onderdelen van het algoritme zijn beschreven.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie/#toelichting","title":"Toelichting","text":"Het is van belang dat duidelijke afspraken worden gemaakt over het opstellen, aanvullen en actueel houden van technische documentatie van algorites. Bij het inkopen van algoritmes moet hier rekening mee worden gehouden. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.
Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het AI-systeem door welke partij (aanbieder of gebruiksverantwoordelijke) moeten worden ingevuld of aangevuld.
Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies. Bespreek met het projectteam welke onderdelen van de technische documentatie voor AI-systemen, als genoemd in de Bijlage 4 AI-verordening, door welke partij (aanbieder of gebruiksverantwoordelijke) moeten worden ingevuld of aangevuld.
Door de technische documentatie niet volledig op te stellen, is niet geheel transparant hoe het algoritme functioneert en kan daar geen verantwoording voor worden afgelegd.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-21-uitvoeren-audit-voor-naleving-vereisten/","title":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst","text":"owp-21OntwerpProjectleiderBeleid en adviesPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-21-uitvoeren-audit-voor-naleving-vereisten/#maatregel","title":"Maatregel","text":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-21-uitvoeren-audit-voor-naleving-vereisten/#toelichting","title":"Toelichting","text":"Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-21-uitvoeren-audit-voor-naleving-vereisten/#bronnen","title":"Bronnen","text":"Er kunnen geen controles of inspecties worden uitgevoerd om te beoordelen of de algoritmes van aanbieder nog voldoen aan de vereisten voor een verantwoorde inzet van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-21-uitvoeren-audit-voor-naleving-vereisten/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders/","title":"Bepaal in een aanbesteding of algoritmes van een aanbieder bepalende invloed hebben in een besluit richting personen","text":"owp-22OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoopTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders/#maatregel","title":"Maatregel","text":"Ga na of algoritmes van een aanbieder een bepalende invloed hebben in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders/#toelichting","title":"Toelichting","text":"Als overheidsorganisaties algoritmes willen gebruiken van aanbieders, dan zal bijvoorbeeld tijdens een aanbestedingsproces moeten worden beoordeeld in hoeverre deze algoritmes invloed hebben op besluitvormingprocessen van deze organisaties. Algoritmes kunnen namelijk gebruikers ondersteunen bij de totstandkoming van besluiten, maar ook de besluitvorming van gebruikers overnemen. De mate van menselijke tussenkomst speelt daarbij een belangrijk rol.
Een opdrachtgever moet zelf bepalen welke algoritmes, gezien de specifieke context, wenselijk en toegestaan zijn. Vervolgens moet worden beoordeeld of de algoritmes die worden aangeboden door aanbieder daarbij aansluiten.
Tijdens het aanbestedingsproces moeten daarom inzichten worden verkregen hoe de algoritmes van aanbieders functioneren om tot een beoordeling te kunnen komen. Laat de aanbieder dit toelichten.
Algoritmes van aanbieders nemen besluitvormende taken over, zonder dat daar zicht op is of dat dit is beoordeeld.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/","title":"Laat de aanbieder aangeven welke mate van opleiding en ondersteuning bij de implementatie nodig is om de beoogde algoritmes verantwoord te gebruiken.","text":"owp-23OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/#maatregel","title":"Maatregel","text":"Laat de aanbieder aangeven welke mate van kennisoverdracht (opleiding en training) en ondersteuning bij de organisatorische implementatie nodig is om de beoogde algoritmes verantwoord te kunnen gebruiken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/#toelichting","title":"Toelichting","text":"Beoordeel of de kennisoverdracht en ondersteuning van aanbieder voldoende is om voor een langere periode zelfstandig op een verantwoorde wijze gebruikt te kunnen maken van de algoritmes.
Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren trainingen passend is voor het beoogde gebruik, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/#risico","title":"Risico","text":"Zonder kennisoverdracht aan de organisaties en gebruikers, ontstaat het risico's dat algoritmes onjuist worden toegepast of dat de output onjuist wordt ge\u00efnterpreteerd en zo fouten ontstaan bij het uitvoeren van overheidstaken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-24-risico-analyse-informatiebeveiliging-leverancier/","title":"Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject","text":"owp-24OntwerpProjectleiderBeleid en adviesTechnische robuustheid en veiligheidPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-24-risico-analyse-informatiebeveiliging-leverancier/#maatregel","title":"Maatregel","text":"Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-24-risico-analyse-informatiebeveiliging-leverancier/#toelichting","title":"Toelichting","text":"Er is onvoldoende zicht op risico's op het gebied van informatiebeveiliging als gebruikt wordt gemaakt van algoritmes van aanbieders.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-24-risico-analyse-informatiebeveiliging-leverancier/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen/","title":"Maak vereisten onderdeel van het programma van eisen bij een aanbesteding","text":"owp-25OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen/#maatregel","title":"Maatregel","text":"Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen/#toelichting","title":"Toelichting","text":"Er is niet gespecificeerd en daarmee achteraf niet afdwingbaar dat algoritmes aan bepaalde vereisten moeten voldoen die van de belangen voor de betreffende overheidsorganisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen/#bronnen","title":"Bronnen","text":"Hoe specificeer ik mijn vraag?
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement/","title":"Maak vereisten voor algoritmes onderdeel van de Service Level Agreement","text":"owp-26OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement/#maatregel","title":"Maatregel","text":"Maak de vereiste onderdeel van Service Level Agreement
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement/#toelichting","title":"Toelichting","text":"Zonder concrete afspraken te maken in de SLA, ontstaat het risico dat aloritmes (tijdelijk) of te langdurig niet kunnen worden gebruikt, onjuist fuctioneren of dat er geen verantwoording over de output kan worden afgelegd.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement/#bronnen","title":"Bronnen","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-27-contractuele-afspraken-data-en-artefacten/","title":"Maak (contractuele) afspraken over data en artefacten met een aanbieder","text":"owp-27OntwerpImplementatieJuristPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-27-contractuele-afspraken-data-en-artefacten/#maatregel","title":"Maatregel","text":"Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-27-contractuele-afspraken-data-en-artefacten/#toelichting","title":"Toelichting","text":"Hier kan worden gedacht aan (initi\u00eble) trainingsdatasets, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-27-contractuele-afspraken-data-en-artefacten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-27-contractuele-afspraken-data-en-artefacten/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd/","title":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.","text":"owp-28OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd/#maatregel","title":"Maatregel","text":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd/#toelichting","title":"Toelichting","text":"De in te zetten algoritmes voldoen niet aan vastgestelde beleidskaders.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/","title":"Stel vast welke betrokkenen ge\u00efnformeerd moeten worden en welke informatie zij nodig hebben.","text":"pba-04OntwerpOntwikkelenProjectleiderBeleid en adviesTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/#maatregel","title":"Maatregel","text":"Stel vast welke betrokkenen ge\u00efnformeerd moeten worden over de ontwikkeling en het gebruik van algoritmes en welke informatie zij hierover nodig hebben.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/#toelichting","title":"Toelichting","text":"Welke informatie over algoritmes relevant is, verschilt per partij. Het is van belang om deze partijen in beeld te brengen en vast te stellen welke informatie voor hen relevant is. Raadpleeg hierbij vastgestelde beleidskaders, waarin is beschreven welke informatie in welke gevallen moet worden gecommuniceerd.
Stel bijvoorbeeld de volgende vragen:
Vragen Acties die je kan ondernemen Wie heeft informatie nodig over het ontwikkelen en gebruiken van algoritmes? Stel vast welke betrokken(en) binnen of buiten de organisatie iets over het algoritme wil of zou moeten weten. Wat voor informatie voor algoritmes heeft deze betrokken partij nodig? Toets dit ook bij vastgesteld beleid. Ga na wat de doelgroep moet weten over de werking of inzet van het algoritme. Bepaal om welk technisch niveau dit gaat. Op wat voor manier informeer je de betrokken partij? Pas de juiste methodes toe om de doelgroep te informeren. Wanneer wordt deze informatie gebruikt? Ga na in welke fase van de levenscyclus de gewenste informatie over de werking of inzet van het algoritme wordt gebruikt. Hoe verschilt de informatiebehoefte in elke fase van de levenscyclus? Wie is er verantwoordelijk voor de informatieverstrekking? Bepaal wie er informatie over het algoritme moet ophalen, en wie er voor die informatie kan zorgen.Maak bij het vaststellen van de informatiebehoefte onderscheid tussen transparantie, uitlegbaarheid en interpreteerbaarheid. Houd daarbij ook rekening met zaken die moeten worden gecommuniceerd. Denk hierbij aan het kunnen uitleggen hoe een automatisch genomen besluit tot stand is gekomen.
Stel een communicatieplan op over de ontwikkeling en gebruik van het algoritme. Bepaal vervolgens aan de hand van de levenscyclus wanneer, welke informatie wanneer beschikbaar moet worden gesteld. Stel vast wie verantwoordelijk is voor het opstellen of het leveren van een bijdrage aan deze informatie. In het communicatieplan kunnen verder zaken worden opgenomen als:
Overleg regelmatig met betrokkenen en belanghebbenden in hoeverre de informatieverstrekking aansluit bij de (nieuwe) behoeften.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/#bronnen","title":"Bronnen","text":"Algoritmekader
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/#risico","title":"Risico","text":"Het risico is dat partijen niet of onvolledig worden ge\u00efnformeerd over de ontwikkeling en gebruik van algoritmes, en hierdoor hun rechten niet kunnen effectueren of belangen kenbaar kunnen maken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-29-informeer_betrokkenen/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/","title":"Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze.","text":"owp-07OntwerpProjectleiderBeleid en adviesOntwikkelaarTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#maatregel","title":"Maatregel","text":"Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#toelichting","title":"Toelichting","text":"Uitlegbaarheidstechnieken helpen om de werking van een algoritme transparant te maken. De keuze voor het type algoritme bepaalt hoe transparant je kunt zijn. Van rekenregels kun je namelijk precies uitleggen hoe deze tot een beslissing komen. Maar complexe AI-systemen kunnen een black box zijn. Het is dan onduidelijk hoe deze systemen beslissingen maken.
Afhankelijk van het type algoritme zijn er uitlegbaarheidstechnieken beschikbaar om de werking en keuzes van een algoritme bloot te leggen. Er moet eerst een keuze worden gemaakt welk type algoritme geschikt is gezien de informatiebehoefte. Het is belangrijk om samen met de betrokken partijen vast te leggen welke uitlegbaarheidstechnieken moeten worden toegepast. Bij bronnen kan informatie worden geraadpleegd die helpen bij het vinden van de juiste methodiek.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#gebruik-uitlegbaarheid-bij-besluiten","title":"Gebruik uitlegbaarheid bij besluiten","text":"Onderzoek hoe uitlegbaarheidstechnieken kunnen bijdragen aan het motiveren van besluiten. Dit kan bijvoorbeeld door:
- De output van het algoritme te koppelen aan het zaakdossier, met een toelichting op de interpretatie van die output.\n- De output of een samenvatting hiervan op te nemen in de beschikking.\nVanuit veiligheidsoverwegingen kan bij specifieke algoritmes besloten worden om bepaalde informatie over de werking van een algoritme niet aan iedereen vrij te geven. Denk hierbij aan de beperkingen die de Wet Open Overheid oplegt. Houd ook rekening met mogelijke risico\u2019s op aanvallen die kunnen ontstaan door het gebruik van uitlegbaarheidstechnieken, zoals omschreven in: A Survey of Privacy-Preserving Model Explanations: Privacy Risks, Attacks, and Countermeasures.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#evaluatie-en-validatie","title":"Evaluatie en validatie","text":"Evalueer de uitlegbaarheid van het systeem op functionele, operationele, bruikbaarheids- en veiligheidsvereisten in samenwerking met betrokkenen zoals gebruikers. Valideer of de uitkomst van het algoritme begrijpelijk genoeg is voor gebruiker om hier op een verantwoorde wijze mee te werken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#risico","title":"Risico","text":"Als er geen rekening wordt gehouden met de uitlegbaarheid van een algoritme binnen een bepaalde context, ontstaat het risico dat de output van het algoritme niet wordt begrepen of verkeerd wordt ge\u00efnterpreteerd, wat kan leiden tot onjuist gebruik.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-30-toepassen_uitlegbaarheidstechnieken/#bronnen","title":"Bronnen","text":"imp-10OntwerpValidatie en verificatieProjectleiderBeleid en adviesTransparantiePublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-genereren-bronvermelding/#maatregel","title":"Maatregel","text":"Maak gebruik van een algoritme dat bronvermelding kan genereren bij de output.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-genereren-bronvermelding/#toelichting","title":"Toelichting","text":"Bij het gebruik van generatieve AI/LLM\u2019s is bronvermelding van belang. Hiermee kan tot op zekere hoogte een beoordeling worden gegeven in hoeverre bij het trainen van het AI-model rechtmatig gebruik is gemaakt van bronnen. Bronvermelding is daarnaast essentieel om de output van het AI-model inhoudelijk te kunnen controleren, wat ook informatie geeft in hoeverre het AI-model bijvoorbeeld al dan niet hallucineert of manipuleert.
Voor het ontwikkelen van een AI-model is bronvermelding noodzakelijk, omdat het voor ontwikkelaars de enige manier is om te kunnen controleren of het model goed werkt. Dit geldt ook voor ontwikkelaars die pre-trained modellen gebruiken.
Neem het kunnen generenen van een bronvermelding mee als een 'requirement' voor het te ontwikkelen AI-model in de ontwerpfase of maakt het onderdeel van de behoeftestelling en specificeer deze behoefte in het inkoopproces.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-genereren-bronvermelding/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-genereren-bronvermelding/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-toepassen_vastgestelde-beleidskaders/","title":"Pas vastgestelde beleidskaders toe","text":"org-02OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-toepassen_vastgestelde-beleidskaders/#maatregel","title":"Maatregel","text":"Pas vastgestelde beleidskaders toe.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-toepassen_vastgestelde-beleidskaders/#toelichting","title":"Toelichting","text":"De in te zetten algoritmes voldoen niet aan vastgestelde beleidskaders.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-toepassen_vastgestelde-beleidskaders/#bronnen","title":"Bronnen","text":"Onderzoekskader Algoritmes Auditdienst Rijk, SV.8
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/2-owp-31-toepassen_vastgestelde-beleidskaders/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-01-datakwaliteit/","title":"Controleer de datakwaliteit","text":"dat-01Dataverkenning en datapreparatieOntwikkelaarData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-01-datakwaliteit/#maatregel","title":"Maatregel","text":"Stel vast of de gebruikte data van voldoende kwaliteit is voor de beoogde toepassing.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-01-datakwaliteit/#toelichting","title":"Toelichting","text":"Stel functionele eisen voor de datakwaliteit vast en analyseer structureel of er aan deze eisen wordt voldaan.
De kwaliteit van de data die als input voor het algoritme wordt gebruikt is bepalend voor de uitkomsten van het algoritme. Hier wordt soms ook naar gerefereerd als garbage in = garbage out.
Het Raamwerk gegevenskwaliteit bevat een breed toepasbare set van kwaliteitsdimensies:
Deze dimensies zijn aangevuld met kwaliteitsattributen welke gebruikt kunnen worden om de verschillende dimensies meetbaar te maken.
De vraag of de data kwaliteit voldoende is, hangt sterk samen met de vraag of er bias in de onderliggende data zit. Analyseer daarom ook welke bias en aannames er besloten zijn in de onderliggende data. Denk hierbij onder andere aan de volgende vormen van bias:
Zorg dat je data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) is.
Let op!
Wanneer je een algoritme inkoopt en de ontwikkeling van het algoritme uitbesteedt aan een derde partij, houdt er dan dan rekening mee dat data traceerbaar en reproduceerbaar moet zijn. Maak hier heldere afspraken over met de aanbieder.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-01-datakwaliteit/#risico","title":"Risico","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-02-fair-data/","title":"Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) binnen en buiten de eigen organisatie.","text":"dat-02Dataverkenning en datapreparatieOntwikkelaarData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-02-fair-data/#maatregel","title":"Maatregel","text":"Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) binnen en buiten de eigen organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-02-fair-data/#toelichting","title":"Toelichting","text":"De internationale FAIR-principes zijn richtlijnen voor de manier van beschrijven, opslag en publicatie van data.
Wanneer je voldoet aan de 15 principes is je data 'machine actionable'. Dit maakt het mogelijk dat de data effectief gebruikt kan worden voor verschillende algoritmes.
FAIR data betekent niet per definitie dat data open data is. Juist ook voor (privacy) gevoelige data (gesloten data) kan het heel zinvol zijn om te voldoen aan de principes voor FAIR data, om juist daarmee specifieke geautoriseerde toegang tot gevoelige data mogelijk te kunnen maken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-02-fair-data/#15-principes-voor-fair-data","title":"15 principes voor FAIR data","text":"Er zijn 15 principes voor FAIR data geformuleerd:
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-02-fair-data/#findable-vindbaar","title":"Findable (vindbaar)","text":"F1: Aan (meta)data wordt een wereldwijd unieke en permanente identifier toegevoegd
Voorbeeld
Met behulp van Persistent Identifiers (PID) zorg je ervoor dat jouw data (bijvoorbeeld onderzoeksdata) altijd vindbaar blijft. PID's kun je vergelijken met het ISBN-nummer bij boeken. Het idee is dat ook als de locatie of de onderliggende infrastructuur verandert, de verwijzing intact blijft.
F2: Data wordt beschreven met rijke metadata
Voorbeeld
Het team van data.overheid.nl heeft de metadata standaard DCAT-AP-DONL ontwikkeld die speciaal voor de uitwisseling van dataset informatie voor de Nederlandse situatie is ingericht. Dit is gebaseerd op de Data Catalog Vocabulary (DCAT) versie die de Europese Unie heeft opgesteld. Je kan hierover meer lezen op de site van data.overheid.nl.
F3: Metadata bevat duidelijk en expliciet de identificatie van de data die ze beschrijven
I2: (Meta)data gebruikt gegevenswoordenboeken of vocabulaires die FAIR-principes volgen
Voorbeeld woordenboek
In het woordenboek Hitte staan ongeveer 230 definities van termen rond het thema hitte die gebruikt worden in het klimaatadaptatieveld. Dit woordenboek is ontwikkeld in opdracht van het ministerie van Infrastructuur en Waterstaat door overheidsstichting Geonovum.
I3: (Meta)data bevat gekwalificeerde verwijzingen naar andere (meta)data
R1.2: (Meta)data wordt geassocieerd met gedetailleerde herkomst
Voorbeeld
PROV-DM is een conceptueel datamodel dat gebruikt kan worden voor de herkomstinformatie (provenance) van data.
R1.3: (Meta)data voldoet aan domein-relevante normen
dat-04OntwikkelenMonitoring en beheerJuristProjectleiderTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-04-bewaartermijnen-persoonsgegevens/#maatregel","title":"Maatregel","text":"Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-04-bewaartermijnen-persoonsgegevens/#toelichting","title":"Toelichting","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-05-pseudonimiseren-anonimiseren/","title":"Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren","text":"dat-05Dataverkenning en datapreparatieOntwikkelenOntwikkelaarJuristPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-05-pseudonimiseren-anonimiseren/#maatregel","title":"Maatregel","text":"Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-05-pseudonimiseren-anonimiseren/#toelichting","title":"Toelichting","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-06-schending-auteursrechten/","title":"Controleer de auteursrechten van eigen data","text":"dat-06OntwerpDataverkenning en datapreparatieJuristData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-06-schending-auteursrechten/#maatregel","title":"Maatregel","text":"Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-06-schending-auteursrechten/#toelichting","title":"Toelichting","text":"Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-06-schending-auteursrechten/#bronnen","title":"Bronnen","text":"Algoritmekader
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-06-schending-auteursrechten/#voorbeeld","title":"Voorbeeld","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-duurzame-datacenters/","title":"Gebruik duurzame datacenters","text":"dat-07OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerOntwikkelaarProjectleiderBeleid en adviesDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-duurzame-datacenters/#maatregel","title":"Maatregel","text":"Maak gebruik van datacenters die gebruikmaken van duurzame energiebronnen en energie-effici\u00ebnte technologie\u00ebn voor de opslag en verwerking van data.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-duurzame-datacenters/#toelichting","title":"Toelichting","text":"Door data op te slaan en algoritmes te laten draaien in datacenters die hernieuwbare energiebronnen inzetten en bijvoorbeeld de ontstane restwarmte recyclen, kun je de ecologische voetafdruk van de algoritmes aanzienlijk verkleinen. Datacenters die zich op duurzaamheid richten, verlagen de CO\u2082-uitstoot van hun infrastructuur en bieden mogelijk duurzaamheidsrapportages. Let bij het kiezen van een aanbieder op mogelijke greenwashing; dit gebeurt wanneer bedrijven beweren groen te zijn zonder dit met concrete maatregelen te onderbouwen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-duurzame-datacenters/#technologieen-voor-energie-efficiente-datacenters","title":"Technologie\u00ebn voor energie-effici\u00ebnte datacenters","text":"Om datacenters energie-effici\u00ebnt te maken, zijn er verschillende benaderingen:
Door geen gebruik te maken van duurzame datacenters, loop je het risico op een hogere CO\u2082-uitstoot, en wordt daardoor niet aangesloten bij Rijksbreed beleid. Ook loop je risico op hogere energiekosten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-duurzame-datacenters/#bronnen","title":"Bronnen","text":"dat-07Dataverkenning en datapreparatieOntwikkelenOntwikkelaarDataTechnische robuustheid en veiligheidBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-training-validatie-en-testdata/#maatregel","title":"Maatregel","text":"Indien je gebruik maakt van machine learning technieken, maak een passende keuze voor gescheiden train-, test- en validatiedata en houd hierbij rekening met underfitting en overfitting.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-training-validatie-en-testdata/#toelichting","title":"Toelichting","text":"Verdeel je dataset in drie delen:
de trainingsset
Deze dataset wordt gebruikt om het model te trainen. Uit deze dataset worden de onderliggende patronen of relaties geleerd die later gebruikt kunnen worden om voorspellingen mee te doen.
De kwaliteit van deze dataset moet goed zijn en zo representatief mogelijk voor de doelpopulatie. Eventuele bias of vooroordelen in deze dataset kan door het trainen in het model sluipen.
Let bij het samenstellen van de traningsset op dat de data waarop het model gebaseerd is, niet beschikbaar zijn voordat de uitkomsten zijn geobserveerd. Met andere woorden, zorg ervoor de de voorspellingen geen onderdeel kunnen zijn van de inputvariabelen.
de validatieset
De validatieset fungeert als een onafhankelijke, onbevooroordeelde dataset voor het vergelijken van de prestaties van verschillende algoritmes die zijn getraind op onze trainingsset.
Verschillende modellen kunnen getraind worden op de trainingsdataset. Zo kan je bijvoorbeeld vari\u00ebren in de (hyper)parameters of de inputvariabelen. Dit leidt tot verschillende varianten van het model. Om de prestaties van de verschillende modellen te vergelijken, moeten we een nieuwe dataset gebruiken: de validatieset. Zou je hiervoor de trainingsdataset gebruiken, kan dat leiden tot overfitting, wanneer het model dan te specifiek afgestemd is op 1 dataset. Het model kan dan niet voldoende generaliseren voor nieuwe situaties.
de testset
Nadat er met behulp van de validatieset een keuze is gemaakt voor een passend model en bijbehorende (hyper)parameters, moet je het model nog testen op nieuwe data. Dit geeft een beeld van de werkelijke prestaties van het model in nieuwe omstandigheden.
Let op dat je pas naar deze resultaten kijkt als laatste stap. Inzichten uit deze testdataset mogen niet worden meegenomen in de ontwikkeling, omdat dit kan leiden tot overfitting. Het model zal dan in productie mogelijk minder goed presteren.
Er is geen optimale verdeling van de drie datsets. Veelvoorkomende verhoudingen om je data in te splitten zijn:
Afhankelijk van de hoeveelheid beschikbare data en de context maak je hierin een keuze. Houdt hierbij rekening met:
Naast dat je de datasets willekeurig kan verdelen in drie delen (aselect), kan je ook meer geavanceerde technieken gebruiken. Een robuuste en veelgebruikte techniek is k-fold cross validation, waarbij het model k keer wordt getraind op verschillende delen van de data.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-training-validatie-en-testdata/#risico","title":"Risico","text":"Door onjuiste training van het model presteert het model in de praktijk minder goed dan bij de tests. Als trainings-, validatie- en testdata door elkaar lopen (\"data leakage\"), kan dit leiden tot overfitting, waardoor het model beter lijkt te presteren dan in werkelijkheid het geval is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-07-training-validatie-en-testdata/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-08-eigenaarschap-data/","title":"Zorg dat je controle of eigenaarschap hebt over de data","text":"dat-08Dataverkenning en datapreparatieProjectleiderDataPublieke inkoop
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-08-eigenaarschap-data/#maatregel","title":"Maatregel","text":"De organisatie heeft volledige controle of eigenaarschap over de data. Wanneer dit niet mogelijk is, zijn afspraken gemaakt om de functionele eisen te waarborgen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-08-eigenaarschap-data/#toelichting","title":"Toelichting","text":"Wanneer een algoritme ontwikkeld of ingekocht wordt, is het belangrijk om toegang tot de gebruikte data goed te regelen. Maak bijvoorbeeld afspraken over wie ervoor zorgt dat de data:
Wanneer een algoritme wordt ontwikkeld door een derde partij en dus niet wordt beheerd door de eigen organisatie, maak je duidelijke afspraken over eigenaarschap van de data. Dat geldt zowel voor de inputdata als de outputdata. Zorg dat de inputdata tot je beschikking blijft, zodat resultaten altijd reproduceerbaar zijn.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-08-eigenaarschap-data/#risico","title":"Risico","text":"De organisatie is afhankelijk voor de data of het model afhankelijk van derden en kan daardoor reproduceerbaarheid en prestatie niet garanderen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-08-eigenaarschap-data/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-09-dataminimalisatie/","title":"Beperk de omvang van datasets voor energie-effici\u00ebntie","text":"dat-09Dataverkenning en datapreparatieOntwikkelenOntwikkelaarProjectleiderDataDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-09-dataminimalisatie/#maatregel","title":"Maatregel","text":"Houd datasets beperkt tot het noodzakelijke en voldoende specifiek om onnodige energieconsumptie te voorkomen tijdens de verwerking en opslag van data voor algoritmes. We noemen dit ook wel dataminimalisatie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-09-dataminimalisatie/#toelichting","title":"Toelichting","text":"Hoe meer je bewaart, hoe meer ruimte dat kost om op te slaan. Bovendien verbruikt elk apparaat dat nodig is om data op te slaan stroom. Dat heeft grote invloed op de CO\u2082-uitstoot van een datacentrum. Grote datasets brengen daarom hoge energie- en opslagkosten met zich mee. Door de dataset bewust te beperken tot relevante gegevens, kun je ook de energie-effici\u00ebntie van algoritmes aanzienlijk verbeteren. Vooral bij de ontwikkeling van AI-systemen kan het verminderen van data bijdragen aan lagere energiebehoeften en CO\u2082-uitstoot.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-09-dataminimalisatie/#technieken-voor-dataminimalisatie","title":"Technieken voor dataminimalisatie","text":"Zonder dataminimalisatie loopt je organisatie het risico op onnodig hoge energie- en opslagkosten, en een grotere ecologische impact.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/3-dat-09-dataminimalisatie/#bronnen","title":"Bronnen","text":"owk-01OntwikkelenProjectleiderOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-01-security-by-design/#maatregel","title":"Maatregel","text":"Hanteer principes van \u2018security by design\u2019 (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-01-security-by-design/#toelichting","title":"Toelichting","text":"Security by design is gehanteerd en terug te zien als uitgangspunt. (BIO 14.2.1.1)
Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-01-security-by-design/#risico","title":"Risico","text":"Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-01-security-by-design/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-02-stopzetten-gebruik/","title":"Maak een noodplan voor het stoppen van het algoritme","text":"owk-02OntwikkelenImplementatieProjectleiderOntwikkelaarGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-02-stopzetten-gebruik/#maatregel","title":"Maatregel","text":"Tref (technische) maatregelen waarmee het gebruik van het algoritme kan worden stopgezet.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-02-stopzetten-gebruik/#toelichting","title":"Toelichting","text":"Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme dat onjuist functioneert en niet tijdig kan worden stopgezet.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-02-stopzetten-gebruik/#bronnen","title":"Bronnen","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-03-privacyrisico/","title":"Analyseer de privacy-risico\u2019s en neem maatregelen om deze risico\u2019s laag te houden","text":"owk-03OntwerpOntwikkelenMonitoring en beheerProjectleiderJuristPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-03-privacyrisico/#maatregel","title":"Maatregel","text":"Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-03-privacyrisico/#toelichting","title":"Toelichting","text":"Privacyrisico's met de inzet van algoritmes worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-03-privacyrisico/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-04-logging/","title":"Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code","text":"owk-04OntwikkelenMonitoring en beheerOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-04-logging/#maatregel","title":"Maatregel","text":"Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-04-logging/#toelichting","title":"Toelichting","text":"Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-04-logging/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/","title":"Kies energiezuinige programmeermethoden","text":"owk-05OntwikkelenOntwikkelaarDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/#maatregel","title":"Maatregel","text":"Gebruik energie-effici\u00ebnte programmeertechnieken en methoden die de benodigde rekenkracht minimaliseren.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/#toelichting","title":"Toelichting","text":"Energiezuinig programmeren maakt het mogelijk om de voetafdruk van algoritmes te verkleinen door minder energie en middelen te verbruiken. Door specifieke technieken toe te passen, zoals optimalisatie van processen en effici\u00ebnte geheugenbeheerstrategie\u00ebn, kun je als ontwikkelaar bijdragen aan het verduurzamen van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/#technieken-voor-energiezuinige-softwareontwikkeling","title":"Technieken voor energiezuinige softwareontwikkeling","text":"Lean coding en minimalisatie van code bloat Lean coding richt zich op het gebruik van alleen de benodigde code zonder overbodige complexiteit of libraries, wat resulteert in lagere energieconsumptie. Door \u201ccode bloat\u201d te vermijden, zorg je ervoor dat het algoritme minder verwerkingskracht en geheugen verbruikt.
Gebruik van energiezuinige programmeertalen en frameworks Programmeren in talen zoals Rust, Go en Elixir draagt bij aan energie-effici\u00ebntie doordat deze ontworpen zijn voor lage resource-omvang en hoge effici\u00ebntie. Ook frameworks die lichtgewicht en modulair zijn, ondersteunen energiezuinige processen.
Parallel processing en multi-core optimalisaties Door parallelle verwerking en multi-core optimalisaties toe te passen, wordt rekenwerk verdeeld over meerdere cores. Dit reduceert de totale verwerkingstijd, bespaart energie en verhoogt de prestaties van je code op het vlak van duurzaamheid.
Microservices en modulaire architecturen Een modulaire architectuur, zoals microservices, zorgt ervoor dat je onderdelen van de applicatie alleen activeert wanneer dat nodig is. Dit voorkomt onnodige belasting en beperkt energieverbruik behoorlijk.
Geoptimaliseerd geheugenbeheer Door effici\u00ebnt geheugenbeheer, zoals caching en lazy loading, voorkom je onnodige data-opslag en bewerkingen. Dit verlaagt de energievraag en verbetert de snelheid van het algoritme aanzienlijk.
Zonder energie-effici\u00ebnte methoden kan het algoritme onnodig veel energie verbruiken, wat leidt tot hogere operationele kosten en een grotere milieu-impact.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/#bronnen","title":"Bronnen","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-05-energiezuinige-programmeermethoden/#voorbeeld","title":"Voorbeeld","text":""},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/","title":"Optimaliseer AI-trainingsprocessen voor energie-effici\u00ebntie","text":"owk-06OntwikkelenOntwikkelaarDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/#maatregel","title":"Maatregel","text":"Streef naar energiezuinige methoden voor AI-training, zoals het beperken van trainingscycli en het gebruik van energie-effici\u00ebnte hardware.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/#toelichting","title":"Toelichting","text":"Het trainen van AI, vooral generatieve AI-modellen, vergt aanzienlijke energie en heeft daardoor een grote ecologische voetafdruk. Een enkele trainingsronde kan al een enorme hoeveelheid CO\u2082 uitstoten. Door enkele concrete methoden toe te passen, kun je deze impact beperken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/#energie-optimalisatie-door-hardwarekeuze-en-serverbeheer","title":"Energie-optimalisatie door hardwarekeuze en serverbeheer","text":"Niet alle beschikbare data dragen bij aan de modelprestaties. Door een dataselectiestrategie toe te passen, gebruik je enkel relevante datasets (dataminimalisatie), wat zorgt voor minder intensieve rekenbelasting tijdens het trainingsproces. Daarnaast kan slimme caching helpen om repetitieve data-opvragingen te beperken, wat bijdraagt aan een lagere energievraag. Bovendien kun je hertrainingscycli van AI beperken door enkel updates te doen wanneer nieuwe data dit echt vereist. Dit voorkomt overbodige trainingscycli en bespaart energie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/#risico","title":"Risico","text":"Zonder energie-effici\u00ebnte methoden kan AI-training leiden tot hoge operationele kosten en een aanzienlijke ecologische impact, met name door overmatig gebruik van rekenkracht en energie-intensieve hardware.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/4-owk-06-optimaliseer-AI-training/#bronnen","title":"Bronnen","text":"ver-01OntwikkelenVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarTechnische robuustheid en veiligheidBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-01-functioneren-in-lijn-met-doeleinden/#maatregel","title":"Maatregel","text":"Stel vast dat het algoritme voortdurend functioneert in lijn met de vastgestelde doelstelling.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-01-functioneren-in-lijn-met-doeleinden/#toelichting","title":"Toelichting","text":"Het algoritme functioneert niet in lijn met geformuleerde doelstellingen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-01-functioneren-in-lijn-met-doeleinden/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/","title":"Toets het algoritme op bias","text":"ver-01OntwerpVerificatie en validatieMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarJuristBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#maatregel","title":"Maatregel","text":"Analyseer of het gebruik van het algoritme of het proces daaromheen leidt tot onwenselijke of onrechtmatige verschillen in de behandeling van individuen en/of groepen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#toelichting","title":"Toelichting","text":"Het uitvoeren van een analyse over onwenselijke of onrechtmatige verschillen bestaat grofweg uit 3 stappen:
Voor alle stappen geldt dat het belangrijk is om de gemaakte keuzes en afwegingen zorgvuldig te onderbouwen en te documenteren. De 3 stappen worden hieronder verder toegelicht.
Opmerking
Deze maatregel is in ieder geval van toepassing op natuurlijke personen. Voor andere rechtspersonen zoals bedrijven kan dit ook van toepassing zijn. Denk bijvoorbeeld aan een gelijke behandeling tussen eenmanszaken en grotere bedrijven.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#stap-1-analyseer-of-er-sprake-is-van-bias","title":"Stap 1: Analyseer of er sprake is van bias","text":"In deze stap is het doel om te bepalen in welke mate er sprake is van een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen. Dit verschil kan zowel op een directe als een indirecte manier ontstaan.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#toetsen-op-direct-onderscheid","title":"Toetsen op direct onderscheid","text":"Toetsen op direct onderscheid is in vergelijking tot toetsen op indirect onderscheid relatief eenvoudig.
Bepaal of de inputvariabelen die gebruikt worden leiden tot een direct onderscheid op basis van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid1 of burgelijke staat.
Het is niet mogelijk om een uitputtend overzicht te geven van alle selectiecriteria die mogelijk tot direct onderscheid op grond van ras of nationaliteit kunnen leiden. Wel zijn in de jurisprudentie verschillende voorbeelden en aanknopingspunten te vinden. Zo staat vast dat selectie op basis van fysieke etnische kenmerken, zoals huidskleur, direct onderscheid op grond van ras oplevert2. Een ander voorbeeld is dat onderscheid op grond van een niet-westers klinkende naam direct onderscheid op grond van afkomst (en dus ras) oplevert3.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#toetsen-op-indirect-onderscheid","title":"Toetsen op indirect onderscheid","text":"Ook selectiecriteria die op het eerste gezicht geen enkele link lijken te hebben met een discriminatiegrond kunnen leiden tot indirect onderscheid op grond van een discriminatiegrond. Enkele voorbeelden van zulke 'ogenschijnlijk neutrale' selectiecriteria die verband hebben met ras of nationaliteit zijn: postcode, hoogte van het inkomen, kenteken, familielid in het buitenland, laaggeletterdheid. Indirect onderscheid is in vergelijking met direct onderscheid lastiger op te signaleren en te voorkomen. Daarom is het belangrijk jouw algoritmische toepassing regelmatig te analyseren op eventueel indirect onderscheid. Het toetsen op indirect onderscheid bestaat uit 5 stappen:
Bepaal wat de kwetsbare groepen zijn. Eventueel kan dit aangevuld worden op basis van de discriminatiegronden uit non-discriminatie wetgeving. Of andere groepen waarvoor verschillen in behandeling ethisch onwenselijk zijn.
Bepaal wat \"verschillen in behandeling\" betekent in de context van het algoritme. In deze stap is het belangrijk om voorafgaand aan de daadwerkelijke analyse met een brede groep stakeholders te bepalen wat 'eerlijk' en 'rechtvaardig' wordt bevonden in de context van het betreffende algoritme. Er zijn veel verschillende manieren waarop je kan kijken naar onderscheid bij het gebruik van algoritmes. Voorbeelden van manieren waarop je naar onderscheid kan kijken zijn:
Om te toetsen of er sprake is van onderscheid op basis van gelijke prestaties, is het noodzakelijk om de prestaties van het algoritme goed te analyseren. In het geval van classificatie is het daarvoor nodig om een zogeheten confusion matrix op te stellen. Een confusion matrix is een tabel waarin de voorspellingen van het algoritme worden vergeleken met de werkelijke waarden (de ground truth).
De verschillende maten/metrieken waarop gekeken kan worden naar onderscheid, worden in de (wetenschappelijke) literatuur ook wel fairness metrieken genoemd. Veel van deze metrieken kunnen op basis van de confusion matrix berekend worden. Een hulpmiddel om de meest passende metrieken te kiezen in jouw situatie is de Fairness tree.
Door te denken vanuit verschillende perspectieven, zullen er in de praktijk meerdere metrieken van belang zijn. Het kan echter voorkomen dat deze metrieken elkaar tegenspreken. Maak een duidelijke prioritering van de verschillende metrieken om afwegingen te maken tussen de verschillende opvattingen van eerlijkheid.
Verzamel de benodigde data die nodig is om bovenstaande groepen te bepalen. Bepaal welke data benodigd is om te analyseren of er verschillen zijn tussen bepaalde groepen. In veel gevallen zal data benodigd zijn die demografische en beschermde kenmerken van groepen omschrijft. Het verzamelen en verwerken van deze data kan in strijd zijn met privacy vereisten uit bijvoorbeeld de Algemene Verordening Gegevensbescherming. Het is daarom van belang om duidelijk afwegingen te maken tussen privacy en het analyseren van bias die rekening houdt met de juridische en ethische vereisten.
Uitzondering voor hoog risico AI-systemen
De AI-verordening biedt een uitzondering voor het verwerken van bijzondere categorie\u00ebn persoonsgegevens voor het monitoren, opsporen en corrigeren van bias bij AI-systemen met een hoog risico. Zie artikel 10.5, AI-verordening.
Om de data op een veilige en rechtmatige manier te gebruiken voor een biasanalyse dient de data van voldoende kwaliteit te zijn. Denk hier goed na of de data eventuele bias bevat die kan duiden op een bepaalde vooringenomenheid in de biasanalyse zelf (historische bias of representatie bias). De data dient bijvoorbeeld voldoende actueel en volledig te zijn.
Voor sommige groepen zal het onmogelijk zijn om te beschikken over data van voldoende kwaliteit om zorgvuldig te toetsen op bias. De laaggeletterdheid van burgers of personen is bijvoorbeeld lastig meetbaar en in veel gevallen niet beschikbaar. Bepaal in zo'n situatie of er andere mogelijkheden zijn deze groepen te helpen, of dat er andere mogelijkheden zijn om eventuele ongelijke behandeling bij deze groepen te constateren. Bijvoorbeeld door hierop te monitoren in de klacht- en bezwarenprocedure.
Bereken de verschillen in behandeling en/of uitkomsten van het algoritme. Er zijn verschillende open source softwarepakketten die je hierbij kunnen ondersteunen, zoals fairlearn, Aequitas, fairml, fairness of AI Fairness 360.
Probeer te verklaren hoe het geconstateerde onderscheid is ontstaan. Als er in de vorige stap een significant onderscheid is geconstateerd, is het belangrijk om na te gaan hoe dit onderscheid is ontstaan. Dit kan bijvoorbeeld ontstaan door:
Wanneer duidelijker is hoe de geconstateerde bias is ontstaan, is het goed om te verkennen of er mogelijkheden zijn om dit (in de toekomst) te voorkomen.
Het is belangrijk hier een brede groep aan belanghebbenden bij te betrekken. De oorzaken van bias komen uit de 'echte wereld', waarbij patronen in datasets historische, demografische en sociale verschillen weerspiegielen. Het verklaren en voorkomen van bias vraagt daarmee niet alleen om technische oplossingen, maar het is belangrijk de hele socio-technische omgeving waarin het algoritme wordt ingezet mee te nemen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#stap-2-voer-een-rechtvaardigingstoets-uit","title":"Stap 2: Voer een rechtvaardigingstoets uit","text":"Wanneer er in Stap 1 is geconstateerd dat er sprake is van een onderscheid, dient de volgende vraag beantwoord te worden:
Valt dit onderscheid te rechtvaardigen?
Een geconstateerd systematisch onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn:
Twee subvragen die hierbij beantwoord moeten worden zijn:
Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme mag in dat geval niet gebruikt worden.
Voor meer toelichting over het uitvoeren van een rechtvaardigingstoets, verwijzen we naar het rapport Discriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader van het College voor de Rechten van de Mens.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#stap-3-voer-een-ethische-wenselijkheidstoets-uit","title":"Stap 3: Voer een ethische wenselijkheidstoets uit","text":"Bepaal of het geconstateerde onderscheid uit Stap 1 ethisch wenselijk is. Dit hangt samen met de algemene wenselijkheid van de inzet van het algoritme.
In sommige gevallen kan het zo zijn dat ondanks dat er een objectieve rechtvaardiging bestaat voor het gemaakte onderscheid, dit vanuit ethisch perspectief toch onwenselijk is. Bepaal met een grote groep belanghebbenden wat eventuele (nadelige) effecten van het gemaakte onderscheid kunnen zijn, of jullie dit eerlijk vinden en of er eventuele alternatieven zijn.
Opmerking
De bepaling over wat eerlijk is en wat ethisch wenselijk is kan in sommige gevallen ook politiek bevonden worden. Houd hier rekening met de politiek-bestuurlijke verantwoordelijkheden en zorg indien nodig dat de politiek-bestuurlijke verantwoordelijkhden duidelijk zijn.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#risico","title":"Risico","text":"Wanneer er geen zorgvuldige analyse naar (onwenselijke) bias is uitgevoerd, bestaat het risico dat het gebruik van het algoritme discriminerende effecten met zich meebrengt. Dit kan leiden tot een ongelijke behandeling van burgers met eventuele schade voor betrokkenen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-02-biasanalyse/#bronnen","title":"Bronnen","text":"Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9
Zie Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader, College voor de Rechten van de Mens \u21a9
Zie Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader, College voor de Rechten van de Mens, College voor de Rechten van de Mens 7 juni 2021, oordeel 2021-70; College voor de Rechten van de Mens 23 april 2015, oordeel 2015-44; College voor de Rechten van de Mens 23 april 2015, oordeel 2014-0426.\u00a0\u21a9
ver-03Verificatie en validatieJuristGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-03-vertaling-wetgeving-naar-systeem/#maatregel","title":"Maatregel","text":"Stel regelmatig vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-03-vertaling-wetgeving-naar-systeem/#toelichting","title":"Toelichting","text":"Voor machine learning algoritmes moet bijvoorbeeld worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen) al dan niet passend zijn bij het ondersteunen van wettelijke taken.
Er is een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers, juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en doorlopend te maken.
Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/5-ver-03-vertaling-wetgeving-naar-systeem/#bron","title":"Bron","text":"Handleiding Wetanalyse
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-01-werkinstructies-gebruikers/","title":"Stel een werkinstructie op voor gebruikers.","text":"imp-01ImplementatieProjectleiderOntwikkelaarMenselijke controleTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-01-werkinstructies-gebruikers/#maatregel","title":"Maatregel","text":"Stel een werkinstructie op voor gebruikers.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-01-werkinstructies-gebruikers/#toelichting","title":"Toelichting","text":"Het is belangrijk dat gebruikers een werkinstructie ontvangen met informatie over hoe zij met het algoritme kunnen en moeten werken. Hierin worden zaken beschreven als:
Denk hierbij na over het eventueel bijscholen van medewerkers als het kennisniveau nog onvoldoende is om de werkinstructies goed te begrijpen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-01-werkinstructies-gebruikers/#bronnen","title":"Bronnen","text":"Het algoritme wordt onjuist gebruikt of verkeerd ge\u00efnterpreteerd door gebruikers, waardoor onjuiste belissingen of besluiten worden genomen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-01-werkinstructies-gebruikers/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-02-aselecte-steekproeven/","title":"Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie\u2019 te controleren","text":"imp-02Dataverkenning en datapreparatieImplementatieMonitoring en beheerOntwikkelaarBias en non discriminatieTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-02-aselecte-steekproeven/#maatregel","title":"Maatregel","text":"Uitvoeren van aselecte steekproeven als aanvulling wanneer gebruik gemaakt wordt van risicogestuurde selectie.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-02-aselecte-steekproeven/#toelichting","title":"Toelichting","text":"Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.
Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.
De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.
Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.
Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.
Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. Op die manier kan automation bias beperkt te worden. Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.
De precieze inzet van aselecte steekproeven zal afhangen van de context. Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.
In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. Deze belangenenafweging moet per context gemaakt worden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-02-aselecte-steekproeven/#bronnen","title":"Bronnen","text":"Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-02-aselecte-steekproeven/#risico","title":"Risico","text":"In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/","title":"Richt de juiste menselijke controle in van het algoritme","text":"imp-03OntwerpImplementatieMonitoring en beheerProjectleiderBeleid en adviesMenselijke controleGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#maatregel","title":"Maatregel","text":"Richt (technische) controlemechanismen in voor menselijke tussenkomst (of: menselijke controle) waarmee de output van een algoritme kan worden gecontroleerd.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#toelichting","title":"Toelichting","text":"Algoritmes ondersteunen vaak beslissingen en besluitvorming van overheidsorganisaties. Deze beslissingen of besluiten kunnen betrokkenen in aanmerkelijke mate raken of zelfs rechtsgevolgen hebben. Omdat algoritmes niet foutloos zijn, is het belangrijk dat een mens controleert wat een algoritme doet en, waar nodig, corrigeert. Dit proces heet 'menselijke tussenkomst' en moet betekenisvol zijn, niet slechts symbolisch.
Het inrichten, monitoren en evalueren van menselijke controle is cruciaal om te voorkomen dat algoritmes negatieve effecten veroorzaken of de menselijke autonomie ondermijnen.
Betekenisvolle menselijke controle houdt in dat:
Soms is menselijke tussenkomst minder relevant, zoals bij \u2018gebonden bevoegdheden\u2019. Hierbij is weinig tot geen ruimte om een beslissing of besluit aan te passen. Voorbeelden zijn:
Om menselijke tussenkomst goed te organiseren, zijn technische en organisatorische maatregelen nodig. Dit geldt ook wanneer een externe aanbieder de algoritmes levert. In dat geval moet de verantwoordelijke organisatie (gebruiksverantwoordelijke) samen met de aanbieder bepalen hoe menselijke tussenkomst zinvol kan worden ingericht.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#inrichten-van-menselijke-controle","title":"Inrichten van menselijke controle","text":"Er zijn verschillende manieren om menselijke tussenkomst in te richten, afhankelijk van de specifieke toepassing van een algoritme. Hieronder worden vier mogelijkheden beschreven die kunnen worden ingezet, los of in combinatie:
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#1-human-in-the-loop","title":"1. Human in the loop","text":"Bij dit model speelt de mens een actieve rol in elke fase van het algoritme. Deze variant geeft de meeste controle en invloed, maar kan leiden tot vertraagde of minder effici\u00ebnte besluitvorming, vooral bij real-time of zeer complexe taken waarbij snelheid cruciaal is. Een voorbeeld van toepassen van Human-in-the-loop is het nakijken en beoordelen van de output van een algoritme door een mens, telkens voordat een beslissing wordt genomen. Het verwerken van data gebeurt alleen in opdracht van de mens en verder neemt het algoritme of AI model geen autonome beslissingen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#2-human-on-the-loop","title":"2. Human on the loop","text":"Hier behoudt de mens toezicht en kan ingrijpen wanneer dat nodig is, om te garanderen dat een model veilig en ethisch opereert. Dit model biedt daardoor een balans tussen autonome besluitvorming en menselijke controle. Het is vooral nuttig in situaties waarin afwijkende keuzes of acties van het algoritme grote gevolgen kunnen hebben. De menselijke operator houdt de werking van het algoritme in de gaten en staat klaar om in te grijpen of beslissingen terug te draaien wanneer nodig.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#3-human-above-the-loop","title":"3. Human above the loop","text":"In dit model houdt de mens toezicht op een hoger niveau, met een focus op strategische en ethische keuzes, in plaats van dat de menselijke operator zich bezighoudt met directe operationele beslissingen. Dit stelt de mens in staat in te grijpen wanneer kritieke morele, juridische of sociale zorgen ontstaan om het model op de langere termijn bij te sturen. De menselijke tussenkomst is gericht op het bepalen van beleid en de richtlijnen voor algoritmes. Het gaat daarbij niet alleen over het defini\u00ebren van operationele procedures maar ook het maken van bepaalde ethische overwegingen, het zorgen voor naleving van regelgeving en het overwegen van de implicaties van de inzet van algoritmes op de lange termijn.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#4-human-before-the-loop","title":"4. Human before the loop","text":"Hier maakt de mens vooraf ethische en morele afwegingen die in het algoritme zelf worden ingebouwd. Hoewel het model in productie autonoom opereert, zal de menselijke input gedurende de ontwikkeling ervoor zorgen dat het model ook in complexe situaties volgens de juiste (ethische) afwegingen keuzes en acties onderneemt.
Dit model is essentieel in situaties waar menselijk ingrijpen tijdens de uitvoering niet mogelijk is (wanneer er bijvoorbeeld weinig of helemaal geen tijd is om als mens te interveni\u00ebren), maar waar ethische keuzes cruciaal blijven. Denk aan bestrijding van zeemijnen of situaties met zelfrijdende auto\u2019s in onvoorspelbare verkeerssituaties (bron: TNO visiestuk 2022). Deze variant kan ook worden ingezet voor situaties waarin wel nog menselijk ingrijpen mogelijk is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#risico","title":"Risico","text":"Het niet inrichten van passende menselijke controle leidt tot onverantwoorde inzet van algoritmen en het niet voldoen aan wettelijke vereisten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-03-menselijke-tussenkomst/#bronnen","title":"Bronnen","text":"HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-04-publiceren-algoritmeregister/","title":"Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister","text":"imp-04ImplementatieMonitoring en beheerProjectleiderBeleid en adviesTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-04-publiceren-algoritmeregister/#maatregel","title":"Maatregel","text":"Publiceer het algoritme in het Nederlandse Algoritmeregister.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-04-publiceren-algoritmeregister/#toelichting","title":"Toelichting","text":"Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-04-publiceren-algoritmeregister/#bronnen","title":"Bronnen","text":"imp-06OrganisatieverantwoordelijkhedenOntwikkelenProjectleiderBeleid en adviesJuristPrivacy en gegevensbeschermingGovernanceData
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-proces-privacyrechten/#maatregel","title":"Maatregel","text":"Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes worden ontwikkeld of gebruikt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-proces-privacyrechten/#toelichting","title":"Toelichting","text":"Betrokkenen hebben geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op hun privacyrechten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-proces-privacyrechten/#bronnen","title":"Bronnen","text":"Onderzoekskader Algoritmes Auditdienst Rijk, PRI.9
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-proces-privacyrechten/#voorbeeld","title":"Voorbeeld","text":"Privacyverzoek Gemeente Amsterdam
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-werkinstructies-medewerkers/","title":"Spreek af hoe medewerkers omgaan met het algoritme.","text":"imp-05ImplementatieProjectleiderBeleid en adviesGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-werkinstructies-medewerkers/#maatregel","title":"Maatregel","text":"Stel duidelijke werkinstructies op voor de medewerkers die het algoritme gaan gebruiken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-werkinstructies-medewerkers/#toelichting","title":"Toelichting","text":"Opleiding van medewerkers over:
Bespreek regelmatig de uitdagingen die medewerkers ondervinden bij het werken met het systeem (bijv. tijdsdruk).
Documenteer alle keuzes en de onderliggende redenen/afwegingen rondom menselijke tussenkomst en overzicht. Evalueer en pas gemaakte keuzes waar nodig aan.
Goede samenwerking tussen medewerkers en systemen helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.
Bias, discriminatie, de facto automatische besluitvorming.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-05-werkinstructies-medewerkers/#voorbeeld","title":"Voorbeeld","text":"Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-06-vermelding-in-privacyverklaring/","title":"Vermeld het gebruik van persoonsgegevens in een privacyverklaring","text":"imp-07ImplementatieProjectleiderJuristPrivacy en gegevensbeschermingTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-06-vermelding-in-privacyverklaring/#maatregel","title":"Maatregel","text":"Neem het gebruik van een algoritme op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-06-vermelding-in-privacyverklaring/#toelichting","title":"Toelichting","text":"In een privacyverklaring wordt in ieder geval het volgende opgenomen:
de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-06-vermelding-in-privacyverklaring/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-07-klacht-bezwaar-beroep/","title":"Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.","text":"imp-09ImplementatieMonitoring en beheerProjectleiderOntwikkelaarGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-07-klacht-bezwaar-beroep/#maatregel","title":"Maatregel","text":"Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme. Zorg voor goede monitoring van dit proces zodat het projectteam op de hoogte is van klachten, bezwaren en beroepen over het systeem.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-07-klacht-bezwaar-beroep/#toelichting","title":"Toelichting","text":"imp-08ImplementatieProjectleiderJuristTransparantiePrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-08-vermelding-in-verwerkingsregister/#maatregel","title":"Maatregel","text":"Neem de ontwikkeling en gebruik van een algoritme op in het verwerkingsregister als persoonsgegevens worden verwerkt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-08-vermelding-in-verwerkingsregister/#toelichting","title":"Toelichting","text":"Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-08-vermelding-in-verwerkingsregister/#bronnen","title":"Bronnen","text":"imp-01OrganisatieverantwoordelijkhedenImplementatieProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-09-politiek-bestuurlijk-besluit/#maatregel","title":"Maatregel","text":"Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-09-politiek-bestuurlijk-besluit/#toelichting","title":"Toelichting","text":"De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of be\u00ebindiging van het gebruik van impactvolle algoritmes, terwijl deze daar niet toe bevoegd is.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-09-politiek-bestuurlijk-besluit/#bronnen","title":"Bronnen","text":"Algemene Rekenkamer
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/6-imp-09-politiek-bestuurlijk-besluit/#voorbeeld","title":"Voorbeeld","text":"Besluit College van Burgemeester en Wethouders Gemeente Amsterdam
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-01-backups-maken/","title":"Maak back-ups van algoritmes","text":"mon-01OntwikkelenMonitoring en beheerOntwikkelaarBeleid en adviesTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-01-backups-maken/#maatregel","title":"Maatregel","text":"Back-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-01-backups-maken/#toelichting","title":"Toelichting","text":"Er is een back-up beleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Dit beleid moet vervolgens worden vertaald naar (technische) maatregelen om het kunnen maken van back-ups te realiseren.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-01-backups-maken/#risico","title":"Risico","text":"Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-01-backups-maken/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-02-beveiliging-algoritme/","title":"Beveilig de software","text":"mon-02Dataverkenning en datapreparatieOntwikkelenMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-02-beveiliging-algoritme/#maatregel","title":"Maatregel","text":"Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-02-beveiliging-algoritme/#toelichting","title":"Toelichting","text":"Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.
Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-02-beveiliging-algoritme/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-03-informatiebeveiligingsincidenten/","title":"Maak een noodplan voor beveiligingsincidenten","text":"mon-03OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderBeleid en adviesJuristTechnische robuustheid en veiligheidGovernance
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-03-informatiebeveiligingsincidenten/#maatregel","title":"Maatregel","text":"Richt een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-03-informatiebeveiligingsincidenten/#toelichting","title":"Toelichting","text":"Er zijn procedures aanwezig die borgen dat beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het incident, worden opgepakt.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-03-informatiebeveiligingsincidenten/#risico","title":"Risico","text":"Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-03-informatiebeveiligingsincidenten/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-04-evalueer-bij-veranderingen-in-data/","title":"Monitor regelmatig op veranderingen in de data. Bij veranderingen evalueer je de prestaties en output van het algoritme.","text":"mon-04Monitoring en beheerOntwikkelaarDataTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-04-evalueer-bij-veranderingen-in-data/#maatregel","title":"Maatregel","text":"Monitor regelmatig op veranderingen in de inputdata. Bij geconstateerde veranderingen evalueer je de prestaties en de output van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-04-evalueer-bij-veranderingen-in-data/#toelichting","title":"Toelichting","text":"De inputdata kan voortdurend veranderen. Dat kan komen doordat de context waarin het algoritme wordt gebruikt verandert, of door een technische fout wanneer de data bijvoorbeeld niet goed is ingelezen of aangeleverd. Het te laat opmerken van zo'n verandering kan grote gevolgen hebben. Daarom is het belangrijk om regelmatig te controleren en evalueren of:
Zeker wanneer er gebruikt wordt gemaakt van informatie van derden, is het belangrijk om regelmatig te controleren of er veranderingen in de data zijn. Goede monitoring op datakwaliteit zorgt ervoor dat je voldoende controle hebt over de kwaliteit van de data, zelfs als je hiervoor afhankelijk bent van andere partijen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-04-evalueer-bij-veranderingen-in-data/#risico","title":"Risico","text":"Door veranderingen in de data presteert het model niet meer zoals verwacht.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-04-evalueer-bij-veranderingen-in-data/#bronnen","title":"Bronnen","text":"Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/","title":"Meten, monitoren en rapporteren van milieu-impact van algoritmes","text":"mon-05OntwerpMonitoring en beheerOntwikkelaarBeleid en adviesProjectleiderDuurzaamheid
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#maatregel","title":"Maatregel","text":"Inventariseer en monitor de milieu-impact van algoritmes (bijvoorbeeld door het doen van een impact-assessment), zowel tijdens ontwerp als bij het gebruik, en rapporteer deze om duurzame keuzes mogelijk te maken.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#toelichting","title":"Toelichting","text":"Tref bijvoorbeeld de volgende maatregelen, wanneer je de milieu-impact van algoritmes gaat inventariseren of monitoren:
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#digital-product-passports","title":"Digital Product Passports","text":"De milieu-impact van algoritmes kan worden gemeten en geoptimaliseerd door een Digital Product Passport (DPP) te overwegen. DPP's bieden een platform voor duurzame rapportage door middel van real-time informatie over onder andere CO\u2082-uitstoot, herkomst en energiegebruik, wat kan helpen om de ecologische voetafdruk van een algoritme transparant te maken. Door deze gegevens structureel te verzamelen en te delen, kunnen gebruikers en bedrijven inzicht krijgen in de duurzaamheidsprestaties. De milieu-impact van verschillende algoritmes/modellen kan een rol spelen bij het kiezen van een model in de ontwerpfase. Ook kan het ervoor zorgen dat je later kiest om een ander model te gebruiken, of het gebruik van een model of systeem zelfs te be\u00ebindigen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#milieu-impact-assessments","title":"Milieu-impact assessments","text":"Wanneer de milieu-impact (in bepaalde mate) inzichtelijk is, kan er een milieu-impact assessment worden gedaan. Ga na of je organisatie die een heeft of overweeg deze te ontwikkelen.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#periodieke-monitoring","title":"Periodieke monitoring","text":"Probeer ook periodieke monitoringsrapporten op te stellen waarin de milieu-impact van algoritmes wordt bijgehouden. Hiermee vergroot je de duurzaamheid door tijdig verbeteringen te signaleren en door te voeren. Hierbij kan ook een onderscheid worden gemaakt in de impact tijdens de trainingsfase van het algoritme en de gebruiksfase.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#risico","title":"Risico","text":"Wanneer in de ontwerpfase niet wordt nagedacht over milieu-impact kan onbewust voor een algoritme of model worden gekozen dat meer energie verbruikt (en wellicht hogere kosten met zich mee brengt) dan een model dat misschien even goed presteert voor het gekozen doel. Zonder structurele monitoring van de milieu-impact kan de organisatie onbewust bijdragen aan een hoge CO\u2082-uitstoot en hoge energieverbruikskosten.
"},{"location":"voldoen-aan-wetten-en-regels/maatregelen/7-mon-05-meten-milieu-impact/#bronnen","title":"Bronnen","text":"Overzicht van de belangrijkste vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/#wetten-en-regels","title":"Wetten en regels","text":"De vereisten zijn gebaseerd op de wetten en regels voor het uitvoeren van wettelijke taken, zoals de:
Bij elke vereiste staat de bron er duidelijk bij.
Let op!
Het Algoritmekader biedt een overzicht van de belangrijkste vereisten. Dit is niet volledig. Sectorspecifieke wetgeving is bijvoorbeeld niet meegenomen. Hierdoor kan het zijn dat er meer regelgeving van geldt voor jouw toepassing.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/#aantal-vereisten-verschilt-per-situatie","title":"Aantal vereisten verschilt per situatie","text":"Welke vereisten gelden voor jouw organisatie, hangt af van:
Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.
Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/","title":"Personeel en gebruikers zijn voldoende AI-geletterd.","text":"aia-01OrganisatieverantwoordelijkhedenProjectleiderMenselijke controleGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/#vereiste","title":"Vereiste","text":"Personeel en gebruikers zijn voldoende AI-geletterd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/#toelichting","title":"Toelichting","text":"Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken.
Zij houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
De AI-kennisplicht betekent bijvoorbeeld dat een HR-medewerker moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essenti\u00eble informatie kan negeren, waardoor een sollicitant onterecht wel of juist niet wordt voorgedragen. En een baliemedewerker bij een gemeente die een AI-systemen gebruikt om de burgers te helpen, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen. En dat diegene de uitkomsten van dit soort AI-systemen niet blindelings kan volgen.
Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
Vanaf februari 2025 treedt deze vereiste in werking.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/#bronnen","title":"Bronnen","text":"Artikel 4 Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAI-model voor algemene doeleindenhoog risico AI-systeemverboden AIgeen hoog risico AI-systeemAanbiederGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid/#risico","title":"Risico","text":"Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt.
Dit kan leiden tot ineffici\u00ebntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/","title":"Verboden AI-systemen mogen niet worden gebruikt.","text":"aia-01OrganisatieverantwoordelijkhedenProbleemanalyseProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/#vereiste","title":"Vereiste","text":"Verboden AI-systemen mogen niet worden gebruikt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/#toelichting","title":"Toelichting","text":"Afgezien van de vele nuttige toepassingen van AI kan zij ook worden misbruikt en nieuwe en krachtige instrumenten voor manipulatie, uitbuiting en sociale controle opleveren. Dergelijke praktijken zijn bijzonder schadelijk en abusief en moeten worden verboden omdat zij in strijd zijn met de waarden van de Unie, namelijk eerbied voor de menselijke waardigheid, vrijheid, gelijkheid, democratie en de rechtsstaat, en met de grondrechten van de Unie die zijn vastgelegd in het Handvest, waaronder het recht op non-discriminatie, gegevensbescherming en privacy, en de rechten van het kind.
In de volgende gevallen gaat het om een verboden toepassing op grond van de AI-Verordening: - gebruik kan gaan maken van subliminale technieken om mensen onbewust of bewust kunnen manipuleren, waardoor ze beslissingen nemen die ze anders niet zouden hebben genomen? - gebruik kan gaan maken van kwetsbaarheden van individuen of specifieke groepen, zoals leeftijd, handicaps of sociale/economische omstandigheden, om het gedrag van die personen aanzienlijk te verstoren, wat kan leiden tot aanzienlijke schade bij henzelf of anderen? - gebruikt kan worden om natuurlijke personen of groepen gedurende een periode te evalueren of te classificeren op basis van hun sociale gedrag of afgeleide persoonlijke kenmerken? - gebruikt kan worden voor risicobeoordelingen van natuurlijke personen om het risico op crimineel gedrag te voorspellen, gebaseerd op profilering of persoonlijkheidskenmerken? (Dit geldt niet voor AI-systemen die worden gebruikt om menselijke beoordelingen te ondersteunen, gebaseerd op objectieve en verifieerbare feiten die rechtstreeks verband houden met criminele activiteiten) - gebruikt kan worden om databanken voor gezichtsherkenning aan te leggen of aan te vullen door willekeurige gezichtsafbeeldingen van internet of CCTV-beelden te scrapen? - gebruikt kan worden om emoties van een persoon op de werkplek of in het onderwijs af te leiden? (Dit is niet van toepassing als het gebruik van het AI-systeem is bedoeld voor medische- of veiligheidsdoeleinden) - gebruikt kan worden om natuurlijke personen individueel in categorie\u00ebn in te delen op basis van biometrische gegevens om ras, politieke opvattingen, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, seksleven of seksuele geaardheid af te leiden? (Dit verbod geldt niet voor het labelen of filteren van rechtmatig verkregen biometrische datasets, zoals afbeeldingen, op basis van biometrische gegevens, of voor categorisering van biometrische gegevens op het gebied van rechtshandhaving) - gebruikt kan worden als een biometrisch systeem in de publieke ruimte voor identificatie op afstand in real-time, met het oog op de rechtshandhaving?
Er zijn een tweetal uitzonderingen voor het inzetten van verbonden AI-systemen. Deze zijn: - Er is sprake van een rechtshandhavingsactiviteit i.v.m. een specifiek misdrijf (terrorisme, mensenhandel, seksuele uitbuiting van kinderen en materiaal over seksueel misbruik van kinderen, illegale handel in verdovende middelen en psychotrope stoffen, illegale handel in wapens, munitie en explosieven, moord, zware mishandeling, illegale handel in menselijke organen en weefsels, illegale handel in nucleaire en radioactieve stoffen, ontvoering, wederrechtelijke vrijheidsberoving en gijzeling, misdrijven die onder de rechtsmacht van het Internationaal Strafhof vallen, kaping van vliegtuigen/schepen, verkrachting, milieucriminaliteit, georganiseerde of gewapende diefstal, sabotage, deelneming aan een criminele organisatie die betrokken is bij een of meer van de bovengenoemde misdrijven). - Er is sprake van gerichte opsporing van specifieke slachtoffers, ontvoering, mensenhandel en seksuele uitbuiting van mensen, vermiste personen; of het voorkomen van bedreigingen voor het leven of de fysieke veiligheid van personen of het reageren op de huidige of voorzienbare dreiging van een terreuraanslag.
Bepaal in een vroege fase en bij het onderbouwen van het gebruik van een AI-systeem of de beoogde toepassing is toegestaan.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/#bronnen","title":"Bronnen","text":"Artikel 5 Verordening Artifici\u00eble Intelligentie.
Overweging 29 - 44 AI-Verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemverboden AIAanbiederGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-01-verboden-AI-praktijken/#risico","title":"Risico","text":"Er ontstaat een onrechtmatige situatie voor een organisatie als deze AI inzet, die verboden is.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/","title":"Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.","text":"aia-02OntwerpProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#vereiste","title":"Vereiste","text":"Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#toelichting","title":"Toelichting","text":"Een aanbieder die van mening is dat er geen sprake is van een in bijlage III bedoeld AI-systeem, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld.
Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening).
AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#risico","title":"Risico","text":"Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van (risicovolle) AI-systemen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/","title":"Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem","text":"aia-03OrganisatieverantwoordelijkhedenProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/#vereiste","title":"Vereiste","text":"Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/#toelichting","title":"Toelichting","text":"Het systeem voor risicobeheer moet bestaan uit een gepland iteratief proces, dat tijdens de gehele levensduur van een hoog-risico AI-systeem wordt doorlopen. Een organisatie moet ervoor zorgen dat een risicobeheersysteem wordt ingericht in de organisatie.
Het risicobeheersysteem moet gericht zijn op het vaststellen en beperken van de relevante risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten met passende maatregelen.
Het systeem voor risicobeheer moet periodiek worden ge\u00ebvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
Dit proces moet ervoor zorgen dat de aanbieder de risico\u2019s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten.
Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico\u2019s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. De aanbieder moet aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
Bij het vaststellen van passende risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes hebben gedocumenteerd en voorzien van een toelichting en, in voorkomend geval, deskundigen en externe belanghebbenden hierbij betrekken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/#bronnen","title":"Bronnen","text":"Artikel 9(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem/#risico","title":"Risico","text":"Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/","title":"Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen.","text":"aia-04OntwerpMonitoring en beheerProjectleiderBeleid en adviesFundamentele rechtenBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#vereiste","title":"Vereiste","text":"Bij het doorlopen, het periodieke systematische toetsen en actualiseren van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#toelichting","title":"Toelichting","text":"Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen.
Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#bronnen","title":"Bronnen","text":"Artikel 9(9) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#risico","title":"Risico","text":"Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-05-data-kwaliteitscriteria/","title":"Datasets voor hoog-risico-AI-systemen voldoen aan kwaliteitscriteria","text":"aia-05Dataverkenning en datapreparatieVerificatie en validatieProjectleiderOntwikkelaarData
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-05-data-kwaliteitscriteria/#vereiste","title":"Vereiste","text":"AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-05-data-kwaliteitscriteria/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria.
Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria zijn te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.
Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan:
Artikel 10(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-05-data-kwaliteitscriteria/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-05-data-kwaliteitscriteria/#risico","title":"Risico","text":"Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/","title":"Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie.","text":"aia-06Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieProjectleiderOntwikkelaarTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/#toelichting","title":"Toelichting","text":"De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt.
Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van AI-Verordening (afdeling 2), zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. Daarvoor moet de informatie op een heldere en begrijpelijke wijze zijn opgesteld.
De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV AI-Verordening:
De documentatie kan opgevraagd worden door een bevoegde autoriteit met een met redenen omkleed verzoek, zoals toegelicht in artikel 21 van de AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/#risico","title":"Risico","text":"Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. Dat kan tot problemen leiden bij de verantwoording, controle, beheer en conformiteit met regelgeving.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-06-technische-documentatie/#voorbeeld","title":"Voorbeeld","text":"aia-07OntwikkelenMonitoring en beheerOntwikkelaarProjectleiderTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-07-automatische-logregistratie/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-07-automatische-logregistratie/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als \"logs\".
Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken.
Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert. Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in:
Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systemen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-07-automatische-logregistratie/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-07-automatische-logregistratie/#risico","title":"Risico","text":"Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/","title":"Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.","text":"aia-08OntwerpOntwikkelenMonitoring en beheerProjectleiderOntwikkelaarBeleid en adviesTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken.
Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd.
In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#bronnen","title":"Bronnen","text":"Artikel 13(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#risico","title":"Risico","text":"Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/","title":"Hoog-risico-AI-systemen staan onder menselijk toezicht.","text":"aia-09OntwerpOntwikkelenMonitoring en beheerProjectleiderMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen staan onder menselijk toezicht.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-hulpmiddelen, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.
Het menselijk toezicht is gericht op het voorkomen of beperken van de risico\u2019s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico\u2019s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.
De te treffen toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. Hierbij kan het gaan om:
De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen:
In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verifici\u00ebren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/#bronnen","title":"Bronnen","text":"Artikel 14 verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-09-menselijk-toezicht/#risico","title":"Risico","text":"Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/","title":"Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.","text":"aia-10OntwerpOntwikkelenMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden.
Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.
Technische robuustheid is een essenti\u00eble eis voor AI-systemen met een hoog risico. Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties).
Er moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalie\u00ebn voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.
Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen.
Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut.
Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#bronnen","title":"Bronnen","text":"Artikel 15 Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#risico","title":"Risico","text":"Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-11-systeem-voor-kwaliteitsbeheer/","title":"Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem","text":"aia-11OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#toelichting","title":"Toelichting","text":"Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:
AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#risico","title":"Risico","text":"Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-12-bewaartermijn-voor-documentatie/","title":"Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder","text":"aia-12OntwerpMonitoring en beheerUitfaserenProjectleiderTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-12-bewaartermijn-voor-documentatie/#vereiste","title":"Vereiste","text":"De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten:
De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-12-bewaartermijn-voor-documentatie/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-12-bewaartermijn-voor-documentatie/#risico","title":"Risico","text":"Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/","title":"Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder","text":"aia-13OntwerpMonitoring en beheerUitfaserenProjectleiderTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#toelichting","title":"Toelichting","text":"Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#risico","title":"Risico","text":"Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-14-conformiteitsbeoordeling/","title":"Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedure","text":"aia-14Verificatie en validatieImplementatieJuristProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-14-conformiteitsbeoordeling/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-14-conformiteitsbeoordeling/#toelichting","title":"Toelichting","text":"Conformiteitsbeoordelingen dragen bij aan het kunnen vertrouwen op de kwaliteit van producten en diensten. Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd v\u00f3\u00f3rdat het systeem op de markt wordt gebracht of in gebruik wordt genomen. Hiervoor moet worden beoordeeld of het ontwikkelde hoog risico AI-systeem voldoet aan de vereisten die gelden voor deze systemen. Denk hierbij aan de vereisten van risicobeheer, technische documentatie, data en datagovernance en transparantie en informatieverstrekking aan gebruiksverantwoordelijken (Afdeling 2, AI-Verordening).
Een conformiteitbeoordeling kan worden uitgevoerd door middel van - een interne controle (als bedoeld in bijlage VI van de AI-verordening) - of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening). Een conformiteitsbeoordeling door een aangemelde instatie wordt ookwel een conformiteitsbeoordeling door een derden genoemd.
Als overheidsorganisaties hoog risico AI-systemen gebruiken van aanbieders of deze zelf ontwikkelen, zullen deze systemen veelal de conformiteitsbeoordeling middels een interne controle moeten doorlopen (bijlage VI). Let op! In het geval dat een hoog risico AI-systeem door een rechtshandhavingsinstantie, immigratie- of asielautoriteit wordt ingezet, dan zal de markttoezichtautoriteit als aangemelde instantie optreden die de conformiteitsbeoordeling zal uitvoeren.
AI-systemen met een hoog risico die al aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-14-conformiteitsbeoordeling/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-14-conformiteitsbeoordeling/#risico","title":"Risico","text":"Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-15-eu-conformiteitsverklaring/","title":"Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaring","text":"aia-15Verificatie en validatieImplementatieJuristProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-15-eu-conformiteitsverklaring/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-15-eu-conformiteitsverklaring/#toelichting","title":"Toelichting","text":"Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-15-eu-conformiteitsverklaring/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-15-eu-conformiteitsverklaring/#risico","title":"Risico","text":"Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-16-ce-markering/","title":"Hoog-risico-AI-systemen zijn voorzien van een CE-markering","text":"aia-16ImplementatieProjectleiderTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-16-ce-markering/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-16-ce-markering/#toelichting","title":"Toelichting","text":"Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. Op AI-systemen met een hoog risico die in een product zijn ge\u00efntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden aangevuld met een digitale CE-markering. Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-16-ce-markering/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-16-ce-markering/#risico","title":"Risico","text":"Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-17-registratieverplichtingen/","title":"Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank","text":"aia-17ImplementatieProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-17-registratieverplichtingen/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-17-registratieverplichtingen/#toelichting","title":"Toelichting","text":"V\u00f3\u00f3r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. 71 AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-17-registratieverplichtingen/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-17-registratieverplichtingen/#risico","title":"Risico","text":"Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/","title":"Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in","text":"aia-18OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderMenselijke controleTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#toelichting","title":"Toelichting","text":"Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#risico","title":"Risico","text":"Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. Het kan leiden tot juridische procedures en reputatieschade voor organisaties.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-19-toegankelijkheidseisen/","title":"Hoog-risico-AI-systemen voldoen aan de toegankelijkheidseisen","text":"aia-19OntwerpProjectleiderOntwikkelaarMenselijke controleTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-19-toegankelijkheidseisen/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-19-toegankelijkheidseisen/#toelichting","title":"Toelichting","text":"Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico-AI-systemen.
Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-19-toegankelijkheidseisen/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-19-toegankelijkheidseisen/#risico","title":"Risico","text":"Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/","title":"Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing","text":"aia-20OrganisatieverantwoordelijkhedenImplementatieProjectleiderOntwikkelaarGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/#vereiste","title":"Vereiste","text":"Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/#toelichting","title":"Toelichting","text":"Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/#bronnen","title":"Bronnen","text":"Artikel 26(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-20-gebruiksverantwoordelijken-maatregelen/#risico","title":"Risico","text":"Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-21-gebruiksverantwoordelijken-menselijk-toezicht/","title":"Menselijke controle van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden","text":"aia-21OrganisatieverantwoordelijkhedenProjectleiderGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-21-gebruiksverantwoordelijken-menselijk-toezicht/#vereiste","title":"Vereiste","text":"Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-21-gebruiksverantwoordelijken-menselijk-toezicht/#toelichting","title":"Toelichting","text":"Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-21-gebruiksverantwoordelijken-menselijk-toezicht/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-21-gebruiksverantwoordelijken-menselijk-toezicht/#risico","title":"Risico","text":"Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/","title":"De werking van hoog-risico-AI-systemen wordt gemonitord","text":"aia-22Monitoring en beheerProjectleiderMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/#vereiste","title":"Vereiste","text":"Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/#toelichting","title":"Toelichting","text":"Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.
Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.
Voor gebruiksverantwoordelijke die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financi\u00eble diensten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/#bronnen","title":"Bronnen","text":"Artikel 26(5) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-22-gebruiksverantwoordelijken-monitoren-werking/#risico","title":"Risico","text":"Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/","title":"Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke","text":"aia-23OntwikkelenMonitoring en beheerProjectleiderTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/#vereiste","title":"Vereiste","text":"Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/#toelichting","title":"Toelichting","text":"Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.
Gebruiksverantwoordelijken die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financi\u00eble diensten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/#bronnen","title":"Bronnen","text":"Artikel 26(6) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-23-gebruiksverantwoordelijken-bewaren-logs/#risico","title":"Risico","text":"Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/","title":"Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt","text":"aia-24ImplementatieProjectleiderTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/#vereiste","title":"Vereiste","text":"Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/#toelichting","title":"Toelichting","text":"Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/#bronnen","title":"Bronnen","text":"Artikel 26(7) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-24-informeren-werknemers/#risico","title":"Risico","text":"Als werknemersvertegenwoordigers en werknemers niet worden ge\u00efnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-25-gebruiksverantwoordelijken-registratieverplichtingen/","title":"Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank","text":"aia-25OrganisatieverantwoordelijkhedenImplementatieMonitoring en beheerProjectleiderTransparantieGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-25-gebruiksverantwoordelijken-registratieverplichtingen/#vereiste","title":"Vereiste","text":"Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-25-gebruiksverantwoordelijken-registratieverplichtingen/#toelichting","title":"Toelichting","text":"Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.
Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. De aanbieder of distributeur wordt door de gebruiksverantwoordelijke ge\u00efnformeerd dat het systeem niet is geregistreerd in de EU-databank.
AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-25-gebruiksverantwoordelijken-registratieverplichtingen/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-25-gebruiksverantwoordelijken-registratieverplichtingen/#risico","title":"Risico","text":"Zonder registratie van het hoog risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-26-recht-op-uitleg-ai-besluiten/","title":"Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten","text":"aia-28OrganisatieverantwoordelijkhedenOntwerpMonitoring en beheerProjectleiderGovernanceFundamentele rechtenTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-26-recht-op-uitleg-ai-besluiten/#vereiste","title":"Vereiste","text":"Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-26-recht-op-uitleg-ai-besluiten/#toelichting","title":"Toelichting","text":"Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-26-recht-op-uitleg-ai-besluiten/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-26-recht-op-uitleg-ai-besluiten/#risico","title":"Risico","text":"Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/","title":"Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten","text":"aia-29OntwerpVerificatie en validatieProjectleiderBeleid en adviesFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/#vereiste","title":"Vereiste","text":"Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/#toelichting","title":"Toelichting","text":"Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. Deze evaluatie is bedoeld om potenti\u00eble risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/#bronnen","title":"Bronnen","text":"AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/#risico","title":"Risico","text":"Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-27-beoordelen-gevolgen-grondrechten/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenImpact Assessment Mensenrechten en Algoritmes"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-28-transparantieverplichtingen/","title":"AI-systemen worden zo ontworpen en gebruikt, dat mensen begrijpen wanneer zij met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem","text":"aia-28OntwikkelenImplementatieProjectleiderOntwikkelaarTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-28-transparantieverplichtingen/#vereiste","title":"Vereiste","text":"Aanbieders van AI-systemen zorgen dat AI-sytemen zodanig worden ontworpen en ontwikkeld dat de betrokken natuurlijke personen worden ge\u00efnformeerd dat zij interacteren met een AI-systeem. Gebruiksverantwoordelijken moeten betrokkenen informeren over de werking van het systeem en in het geval van een AI-systeem dat content gegenereert duidelijk kenbaar maken dat de content kunstmatig is gegenereerd of gemanipuleerd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-28-transparantieverplichtingen/#toelichting","title":"Toelichting","text":"Dit geldt voor AI-systemen die:
AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemgeen hoog risico AI-systeemAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-28-transparantieverplichtingen/#risico","title":"Risico","text":"Bepaalde AI-systemen die bedoeld zijn om met natuurlijke personen te interageren of om content te genereren, kunnen specifieke risico\u2019s op imitatie of misleiding met zich meebrengen, ongeacht of zij als systeem met een hoog risico gelden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/","title":"AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische documentatie en informatie","text":"aia-29OntwerpOntwikkelenMonitoring en beheerProjectleiderTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/#vereiste","title":"Vereiste","text":"Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/#toelichting","title":"Toelichting","text":"Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.
Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).
In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/#bronnen","title":"Bronnen","text":"Artikel 53 Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-model voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-29-ai-modellen-algemene-doeleinden/#risico","title":"Risico","text":"Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen extra maatregelen","text":"aia-30OntwikkelenVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/#vereiste","title":"Vereiste","text":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/#toelichting","title":"Toelichting","text":"De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico\u2019s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.
Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.
Systeemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden be\u00efnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze be\u00efnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\u00ebn, en door het potentieel om waarborgen te omzeilen en andere factoren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/#bronnen","title":"Bronnen","text":"AI-model voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/#risico","title":"Risico","text":"Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/","title":"Als AI-modellen voor algemene doeleinden met systeemrisico\u2019s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd","text":"aia-31Monitoring en beheerProjectleiderGovernanceTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#vereiste","title":"Vereiste","text":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#toelichting","title":"Toelichting","text":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#bronnen","title":"Bronnen","text":"Artikel 55(1c) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-model voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#risico","title":"Risico","text":"Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/","title":"AI-modellen voor algemene doeleinden met systeemrisico\u2019s zijn voldoende beveiligd tegen cyberaanvallen","text":"aia-32OntwikkelenMonitoring en beheerOntwikkelaarGovernanceTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#vereiste","title":"Vereiste","text":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#toelichting","title":"Toelichting","text":"Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potenti\u00eble cyberdreigingen. Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#bronnen","title":"Bronnen","text":"Artikel 55(1d) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-model voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#risico","title":"Risico","text":"Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-33-verwerking-in-testomgeving/","title":"AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden","text":"aia-33OrganisatieverantwoordelijkhedenOntwikkelenDataverkenning en datapreparatieJuristOntwikkelaarProjectleiderPrivacy en gegevensbeschermingData
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-33-verwerking-in-testomgeving/#vereiste","title":"Vereiste","text":"Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-33-verwerking-in-testomgeving/#toelichting","title":"Toelichting","text":"De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-33-verwerking-in-testomgeving/#bronnen","title":"Bronnen","text":"AI-model voor algemene doeleindenAI-systeemAI-systeem voor algemene doeleindenAanbiederGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-33-verwerking-in-testomgeving/#risico","title":"Risico","text":"Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/","title":"Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem","text":"aia-34Monitoring en beheerProjectleiderTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/#vereiste","title":"Vereiste","text":"Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/#toelichting","title":"Toelichting","text":"Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologie\u00ebn en de risico's van het betreffende AI-systeem met een hoog risico. Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potenti\u00eble impact van het AI-systeem.
Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.
Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/#bronnen","title":"Bronnen","text":"Artikel 72(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-34-monitoring-na-het-in-de-handel-brengen/#risico","title":"Risico","text":"Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/","title":"Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder","text":"aia-35OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/#vereiste","title":"Vereiste","text":"Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/#toelichting","title":"Toelichting","text":"Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:
Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/#bronnen","title":"Bronnen","text":"Artikel 73(1) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-35-melding-ernstige-incidenten/#risico","title":"Risico","text":"Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potenti\u00eble gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/","title":"Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening","text":"aia-36OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderGovernanceMenselijke controle
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/#vereiste","title":"Vereiste","text":"Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/#toelichting","title":"Toelichting","text":"Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders (\"klokkenluiders\") beschermt tegen represailles of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/#bronnen","title":"Bronnen","text":"Artikel 87 Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAI-model voor algemene doeleindenAanbiederGebruiksverantwoordelijke
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-36-melding-inbreuk-op-ai-verordening/#risico","title":"Risico","text":"Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/","title":"Klachtrecht aanbieders verder in AI-waardeketen","text":"aia-37OrganisatieverantwoordelijkhedenProjectleiderFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/#vereiste","title":"Vereiste","text":"Aanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/#toelichting","title":"Toelichting","text":"Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij ge\u00efntrigeerd hebben in AI-systemen. Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/#bronnen","title":"Bronnen","text":"Artikel 89(2) Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-37-recht-klacht-indienen-bij-ai-bureau/#risico","title":"Risico","text":"Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/","title":"Hoog-risico-AI-systemen zijn getest.","text":"aia-39OntwerpOntwikkelenMonitoring en beheerVerificatie en validatieProjectleiderOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#vereiste","title":"Vereiste","text":"Hoog-risico-AI-systemen zijn getest.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#toelichting","title":"Toelichting","text":"AI-systemen met een hoog risico worden getest met het oog op het vaststellen van passende en gerichte risicobeheersmaatregelen. De tests zorgen ervoor dat AI-systemen met een hoog risico consistent presteren ten aanzien van het doel ervan en in overeenstemming zijn met de geldende eisen.
Het testen van AI-systemen met een hoog risico vindt, zoals passend, in de loop van het ontwikkelproces plaats en in ieder geval voordat het systeem in de handel wordt gebracht of in gebruik is gesteld.
Er wordt getest aan de hand van vooraf vastgestelde beoordelingsmaatstaven en probabilistische drempels die passend zijn voor het beoogde doel van het AI-systeem met een hoog risico. De procedures voor testen zijn onderdeel van het kwaliteitsbeheer.
Bij het verwerken van persoonsgegevens voor het ontwikkelen, trainen en testen van een AI-systeem in een AI-testomgeving, wordt een volledige en gedetailleerde beschrijving van het testproces en de testresultaten onderdeel van de technische documentatie.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#testen-van-ai-systemen-met-een-hoog-risico-onder-reele-omstandigheden-buiten-ai-testomgevingen","title":"Testen van AI-systemen met een hoog risico onder re\u00eble omstandigheden buiten AI-testomgevingen","text":"AI-systemen met een hoog risico kunnen onder re\u00eble omstandigheden buiten AI-testomgevingen voor regelgeving worden getest door aanbieders of potenti\u00eble aanbieders van in bijlage III vermelde AI-systemen met een hoog risico in overeenstemming met dit artikel en het in dit artikel bedoelde plan voor tests onder re\u00eble omstandigheden, onverminderd de verbodsbepalingen krachtens artikel 5 AI-Verordening.
Aanbieders of potenti\u00eble aanbieders kunnen zelf of in samenwerking met een of meer gebruiksverantwoordelijken of potenti\u00eble gebruiksverantwoordelijken onder re\u00eble omstandigheden tests uitvoeren op in bijlage III bedoelde AI-systemen met een hoog risico op elk moment v\u00f3\u00f3r het in de handel brengen of in gebruik nemen van het AI-systeem.
Aanbieders of potenti\u00eble aanbieders mogen alleen testen onder re\u00eble omstandigheden als is voldaan aan alle volgende voorwaarden:
a) de aanbieder of potenti\u00eble aanbieder heeft een plan voor tests onder re\u00eble omstandigheden opgesteld en ingediend bij de markttoezichtautoriteit in de lidstaat waar onder re\u00eble omstandigheden moet worden getest;
b) de markttoezichtautoriteit in de lidstaat waar onder re\u00eble omstandigheden moet worden getest, heeft het testen onder re\u00eble omstandigheden en het plan voor tests onder re\u00eble omstandigheden goedgekeurd; indien de markttoezichtautoriteit binnen dertig dagen geen antwoord heeft gegeven, worden het testen onder re\u00eble omstandigheden en het plan voor tests onder re\u00eble omstandigheden geacht te zijn goedgekeurd; indien het nationale recht niet voorziet in een stilzwijgende goedkeuring, blijft het testen onder re\u00eble omstandigheden onderworpen aan een toestemming;
c) de aanbieder of potenti\u00eble aanbieder, met uitzondering van aanbieders of potenti\u00eble aanbieders van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico op de gebieden rechtshandhaving, migratie, asiel en grenstoezichtsbeheer en AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III, heeft het testen onder re\u00eble omstandigheden geregistreerd overeenkomstig artikel 71, lid 4, met een Uniebreed uniek identificatienummer en de in bijlage IX gespecificeerde informatie; de aanbieder of potenti\u00eble aanbieder van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico op de gebieden van rechtshandhaving, migratie, asiel en grenstoezichtsbeheer, heeft het testen onder re\u00eble omstandigheden geregistreerd in het beveiligde niet-openbare gedeelte van de EU-databank overeenkomstig artikel 49, lid 4, punt d), met een Uniebreed uniek identificatienummer en de daarin gespecificeerde informatie; de aanbieder of potenti\u00eble aanbieder van in punt 2 van bijlage III bedoelde AI-systemen met een hoog risico heeft het testen onder re\u00eble omstandigheden geregistreerd overeenkomstig artikel 49, lid 5;
d) de aanbieder of potenti\u00eble aanbieder die onder re\u00eble omstandigheden test, is in de Unie gevestigd of heeft een in de Unie gevestigde wettelijke vertegenwoordiger aangewezen;
e) gegevens die zijn verzameld en verwerkt met het oog op het testen onder re\u00eble omstandigheden mogen alleen aan derde landen worden doorgegeven mits er passende en toepasselijke waarborgen uit hoofde van het Unierecht worden toegepast;
f) het testen onder re\u00eble omstandigheden duurt niet langer dan nodig is om de doelstellingen ervan te verwezenlijken en in geen geval langer dan zes maanden, met een mogelijke verlenging van nog eens zes maanden indien de aanbieder of potenti\u00eble aanbieder de markttoezichtautoriteit daar vooraf van in kennis stelt, met een uitleg waarom een dergelijke verlenging noodzakelijk is;
g) proefpersonen die onder re\u00eble omstandigheden worden getest en die tot kwetsbare groepen behoren vanwege hun leeftijd of handicap, worden naar behoren beschermd;
h) indien een aanbieder of potenti\u00eble aanbieder het testen onder re\u00eble omstandigheden organiseert in samenwerking met een of meer gebruiksverantwoordelijken of potenti\u00eble gebruiksverantwoordelijken, worden zij ge\u00efnformeerd over alle aspecten van het testen die relevant zijn voor hun beslissing om deel te nemen, en krijgen zij de relevante gebruiksinstructies van het AI-systeem als bedoeld in artikel 13; de aanbieder of potenti\u00eble aanbieder en de gebruiksverantwoordelijke of potenti\u00eble gebruiksverantwoordelijke sluiten een overeenkomst waarin hun taken en verantwoordelijkheden worden gespecificeerd teneinde te waarborgen dat de bepalingen voor het testen onder re\u00eble omstandigheden uit hoofde van deze verordening en ander toepasselijk Unie- en nationaal recht worden nageleefd;
i) de proefpersonen die onder re\u00eble omstandigheden worden getest, hebben ge\u00efnformeerde toestemming gegeven overeenkomstig artikel 61, of, in het geval van rechtshandhaving, indien het vragen om ge\u00efnformeerde toestemming het testen van het AI-systeem onder re\u00eble omstandigheden onmogelijk zou maken, de test zelf en het resultaat van de test onder re\u00eble omstandigheden hebben geen negatieve gevolgen voor de proefpersonen en hun persoonsgegevens worden na de uitvoering van test gewist;
j) op het testen onder re\u00eble omstandigheden wordt daadwerkelijk toezicht gehouden door de aanbieder of potenti\u00eble aanbieder, alsook door gebruiksverantwoordelijken of potenti\u00eble gebruiksverantwoordelijken via personen die voldoende zijn gekwalificeerd op het relevante gebied en beschikken over de nodige capaciteiten, opleiding en bevoegdheden om hun taken uit te voeren;
k) de voorspellingen, aanbevelingen of beslissingen van het AI-systeem kunnen daadwerkelijk worden teruggedraaid en genegeerd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#bronnen","title":"Bronnen","text":"Artikel 9(6 en 8) Verordening Artifici\u00eble Intelligentie
Artikel 17(1 sub d) Verordening Artifici\u00eble Intelligentie
Artikel 59(1 sub i) Verordening Artifici\u00eble Intelligentie
Artikel 60 Verordening Artifici\u00eble Intelligentie
Overweging 138 - 141 Verordening Artifici\u00eble Intelligentie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"AI-systeemAI-systeem voor algemene doeleindenAanbieder
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#risico","title":"Risico","text":"Zonder het testen van een AI-systeem, ontstaat het risico dat het AI-systeem inconsistent gaat presteren ten aanzien van het doel.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aia-39-testen/#maatregelen","title":"Maatregelen","text":"<!-- list_maatregelen vereiste/aia-39-testen no-search no-onderwerp no-rol no-levenscyclus --
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/arc-01-archiefwet/","title":"Informatie over algoritmes wordt gedocumenteerd volgens de Archiefwet","text":"arc-01UitfaserenMonitoring en beheerOntwikkelenProjectleiderOntwikkelaarTransparantieData
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/arc-01-archiefwet/#vereiste","title":"Vereiste","text":"Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/arc-01-archiefwet/#toelichting","title":"Toelichting","text":"Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes, tot stand zijn gekomen. Informatie over en van algoritmes moet daarom op basis van de selectielijst bewaard en vernietigd worden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/arc-01-archiefwet/#bronnen","title":"Bronnen","text":"Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes aan hebben bijgedragen, tot stand zijn gekomen. Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten/","title":"Auteursrechten zijn beschermd","text":"aut-01Dataverkenning en datapreparatieOntwerpJuristDataGovernance
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten/#vereiste","title":"Vereiste","text":"Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten/#toelichting","title":"Toelichting","text":"Bepaalde type algoritmes worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes. Het gebruiken van deze data mag geen inbreuk maken op auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten/#bronnen","title":"Bronnen","text":"Het niet voldoen aan het auteursrecht kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/","title":"Persoonsgegevens worden op een rechtmatige manier verwerkt","text":"avg-01ProbleemanalyseOntwerpDataverkenning en datapreparatieProjectleiderJuristPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#vereiste","title":"Vereiste","text":"De verwerking van persoonsgegevens moet rechtmatig plaatsvinden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#toelichting","title":"Toelichting","text":"De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op \u00e9\u00e9n van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.
Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes moet worden onderzocht of dit kan worden gebaseerd op \u00e9\u00e9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#bronnen","title":"Bronnen","text":"Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/","title":"Persoonsgegevens worden zo kort mogelijk bewaard","text":"avg-02OntwerpDataverkenning en datapreparatieOntwikkelenUitfaserenOntwikkelaarBeleid en adviesPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#vereiste","title":"Vereiste","text":"Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#toelichting","title":"Toelichting","text":"Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
In de context van algoritmes is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#bronnen","title":"Bronnen","text":"Artikel 5 lid 1 onder de AVG
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#risico","title":"Risico","text":"Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/","title":"Persoonsgegevens worden zo min mogelijk verwerkt","text":"avg-03OntwerpDataverkenning en datapreparatieOntwikkelenJuristOntwikkelaarPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#vereiste","title":"Vereiste","text":"De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#toelichting","title":"Toelichting","text":"Het is van belang dat \u00e9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. Voor het ontwikkelen en gebruiken van algoritmes is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#bronnen","title":"Bronnen","text":"Artikel 5 lid 1 onder c Algemene Verordening Gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#risico","title":"Risico","text":"Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-04-proportionaliteit-en-subsidiariteit/","title":"Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair","text":"avg-04OntwerpDataverkenning en datapreparatieJuristOntwikkelaarFundamentele rechtenPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-04-proportionaliteit-en-subsidiariteit/#vereiste","title":"Vereiste","text":"Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-04-proportionaliteit-en-subsidiariteit/#toelichting","title":"Toelichting","text":"Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes moet worden toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-04-proportionaliteit-en-subsidiariteit/#bronnen","title":"Bronnen","text":"Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/","title":"Persoonsgegevens zijn juist en actueel","text":"avg-05Dataverkenning en datapreparatieOntwikkelaarProjectleiderPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#vereiste","title":"Vereiste","text":"De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#toelichting","title":"Toelichting","text":"De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#bronnen","title":"Bronnen","text":"Artikel 5 lid 1 sub d Algemene Verordening Gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#risico","title":"Risico","text":"Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/","title":"Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken","text":"avg-06OntwerpDataverkenning en datapreparatieJuristGovernancePrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#vereiste","title":"Vereiste","text":"De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#toelichting","title":"Toelichting","text":"Bij het verwerken van persoonsgegevens voor algoritmes moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#bronnen","title":"Bronnen","text":"Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
avg-07ImplementatieMonitoring en beheerOntwikkelaarProjectleiderPrivacy en gegevensbeschermingTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#vereiste","title":"Vereiste","text":"De verwerking van persoonsgegevens moet transparant zijn.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#toelichting","title":"Toelichting","text":"Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes, zal deze informatie moeten worden verstrekt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#bronnen","title":"Bronnen","text":"Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/","title":"Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt","text":"avg-08OntwerpDataverkenning en datapreparatieProjectleiderJuristBeleid en adviesPrivacy en gegevensbeschermingBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#vereiste","title":"Vereiste","text":"Bijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#toelichting","title":"Toelichting","text":"Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.
Bijzondere categorie\u00ebn persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (artikel 9 AVG en artikel 30 UAVG). Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\u00ebn persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#bronnen","title":"Bronnen","text":"Het (onrechtmatige) verwerken van bijzondere categorie\u00ebn persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/","title":"Betrokkenen kunnen een beroep doen op hun privacyrechten","text":"avg-09OrganisatieverantwoordelijkhedenOntwikkelenOntwikkelaarPrivacy en gegevensbeschermingData
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#vereiste","title":"Vereiste","text":"Betrokkenen kunnen een beroep doen op hun privacyrechten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#toelichting","title":"Toelichting","text":"Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig.
Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#bronnen","title":"Bronnen","text":"Artikel 15 - 21 Algemene Verordening Gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#risico","title":"Risico","text":"Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/","title":"Besluiten die levens kunnen be\u00efnvloeden, zijn niet volledig geautomatiseerd","text":"avg-10OntwerpImplementatieProjectleiderBeleid en adviesPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#vereiste","title":"Vereiste","text":"Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft. Dit verbod geldt niet indien de geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#toelichting","title":"Toelichting","text":"Overheidsorganisaties zijn vaak belast met de uitvoering van wettelijke taken waarbij zij 'besluiten' moeten nemen, bijvoorbeeld als een burger vraagt om een uitkering, toeslag of een subsidie. Hiervoor moeten gegevens worden verwerkt om te kunnen bepalen of een burger hier ook recht op heeft. Om deze gegevens snel en accuraat te verwerken, zetten overheidsorganisaties vaak algoritmes in. Deze gegevens worden dan vaak 'geautomatiseerd' door deze algoritmes verwerkt, zonder dat een ambtenaar dit werk controleert. Soms wordt het proces voor het nemen van een besluit volledig geautomatiseerd ingericht. Denk hierbij aan het opleggen van een boete voor een snelheidsovertreding. Hierdoor kan in korte tijd en op een effici\u00ebnte wijze, een grote hoeveelheid besluiten worden genomen.
Het geautomatiseerd verwerken van gegevens voor de totstandkoming van een besluit brengt risico's met zich mee. Zeker als hierbij persoonsgegevens van individuen worden verwerkt en er sprake is van profilering. Hierdoor ontstaat bijvoorbeeld het risico op discriminatie. Daarom is in art. 22 AVG het recht voor betrokkenen gecre\u00eberd om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit.
Dit verbod geldt voor besluiten die 'rechtsgevolgen' hebben voor een betrokkene, bijvoorbeeld een burger die een boete ontvangt voor de snelheidsovertreding, of hem anderzijds in aanmerkelijke mate treft. Het besluit mag in die gevallen niet geautomatiseerd worden genomen. Een individu moet namelijk kunnen rekenen op voldoende 'menselijke tussenkomst' bij de beoordeling van belangrijke beslissingen die deze persoon treffen.
Bij het geautomatiseerd uitvoeren van processen dient altijd te worden voldaan aan de voorwaarden uit wetgeving, waaronder in het bijzonder de Algemene Verordening Gegevensbescherming (AVG) en de Algemene wet bestuursrecht(Awb). Bestuursorganen dienen dan ook te handelen conform de algemene beginselen van behoorlijk bestuur. Dit samenstel van regels moet de rechten van betrokkenen borgen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#algemene-eisen-aan-geautomatiseerde-besluitvorming-door-overheden","title":"Algemene eisen aan geautomatiseerde besluitvorming door overheden","text":"De Nederlandse wetgever heeft in artikel 40 lid 1 UAVG gebruik gemaakt van de mogelijkheid een uitzondering te maken op het verbod van art. 22 lid 1 AVG. In Nederland is geautomatiseerde besluitvorming toegestaan, als het gaat om besluitvorming waarbij menselijke tussenkomst geen toegevoegde waarde heeft. Dit is het geval als er sprake is van een gebonden karakter waarbij weinig of geen beoordelingsruimte is waarin tot een andere conclusie kan worden gekomen. Hierbij kan worden gedacht aan het toekennen van kinderbijslag of de hoogte van het recht op studiefinanciering. Deze uitzondering geldt niet voor 'profilering', tenzij er specifieke (sectorale) wetgeving het verbod opheft.
Om deze uitzondering toe te kunnen passen, moet er op grond van artikel 22 AVG een 'passende maatregel' in de vorm van wetgeving zijn die personen voldoende bescherming biedt. In Nederland moet de Algemene wet bestuursrecht deze bescherming aan burgers bieden als bestuursorganen besluiten nemen. De Awb bevat vereisten en algemene beginselen waaraan besluitvorming moet voldoen.
Bij het toepassen van geautomatiseerde besluitvorming, moet aan de hand van een DPIA wordt vastgesteld of er bij toepassing van de Awb daadwerkelijk voldoende bescherming wordt geboden. Een verwerkersverantwoordelijke zal dus, naast het toepassen van vereisten uit de AVG en specifieke (sectorale) wetgeving, beginselen uit de Awb moeten vertalen naar concrete maatregelen om geautomatiseerde besluitvorming op een rechtmatige wijze toe te passen. Hierbij kan worden gedacht aan het toepassen van motiveringsbeginsel of het zorgvuldigheidsbeginsel.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#begrippen","title":"Begrippen","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#profilering","title":"Profilering","text":"Profilering is bijzonder gevoelig. Bij profilering gaat het om elke vorm van een geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden ge\u00ebvalueerd. Daarbij gaat het voornamelijk om het analyseren of verspellen van zaken als beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of een verplaatsingen.
Volgens deze definitie gaat het om een verwerking door een computersysteem waarbij het systeem algemene aanname(s) toegepast in een concreet geval. Dit doet het door een individu, met gebruikmaking van diens persoonsgegevens, in te delen in een categorie(profiel). Een dergelijk categorie(profiel) wordt vaak in verband gebracht met bepaalde risico's, bijvoorbeeld het risico op het misbruiken van bepaalde publieke voorzieningen. De gevoeligheid is dat nog niet is vastgesteld dat, in dit voorbeeld, de betreffende natuurlijke persoon ook daadwerkelijk misbruik heeft gemaakt van bepaalde voorzieningen. Als daar wel automatisch gevolgen aan worden verbonden, ontstaat het risico op een onrechtmatige behandeling van een natuurlijk persoon.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#besluit","title":"Besluit","text":"In deze context moet het begrip 'besluit' worden gehanteerd zoals dit is bedoeld in artikel 22 AVG. Het begrip 'besluit' krijgt in de AVG een ruimere betekenis dan het geval is in artikel 1:3 Algemene wet bestuursrecht (Awb). In de Algemene wet bestuursrecht moet er sprake zijn van een 'rechtsgevolg', maar onder het besluitbegrip van de AVG kunnen ook situaties vallen waarin een individu \u2018slechts\u2019 feitelijke gevolgen ervaart als een besluit wordt genomen. Daarmee biedt de AVG dus bescherming voor meerdere situaties.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#rechtsgevolgen","title":"Rechtsgevolgen","text":"Het begrip 'rechtsgevolg' duidt op wijziging in de rechtspositie van betrokkene. Het betekent, juridisch uitgedrukt, een verandering in het geheel van de rechten, aanspraken, bevoegdheden en verplichtingen van \u00e9\u00e9n of meer natuurlijke personen of rechtspersonen. In deze context wijzigt de rechtspositie van een individu door een keuze van het systeem, bijvoorbeeld doordat deze een boete ontvangt. Rechtsgevolgen kwalificeren altijd als relevant.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#aanmerkelijke-mate-treffen","title":"Aanmerkelijke mate treffen","text":"De Europese wetgever heeft weinig richting gegeven aan hoe dit begrip moet worden ge\u00efnterpreteerd. Er zijn wel aanknopingspunten om te duiden wanneer hier sprake van is. De EDPB spreekt van ernstige, aanzienlijke effecten, groot of belangrijk genoeg zijn om aandacht te verdienen. Dat is in ieder geval zo als het besluit het potentieel heeft om de omstandigheden, het gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie te leiden. Dit vraagt per geval om een analyse welke 'keuzes' van het systeem welke gevolgen hebben voor een individu en of die gevolgen rechtsgevolgen zijn of alleen een feitelijk gevolg. Zie voor een nadere toelichting hiervoor het advies van de Autoriteit Persoonsgegevens inzake geautomatiseerde selectietechnieken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#toepassing","title":"Toepassing","text":"Volledig geautomatiseerde vaststelling van een publiekrechtelijk besluit zoals een aanslag, een boete of een vergunning heeft rechtsgevolgen. Een beslissing dat een bepaalde aanvraag in aanmerking komt voor handmatige controle heeft op zichzelf geen rechtsgevolg - de rechtspositie van de betrokkene wijzigt (nog) niet. Wel moet beoordeeld worden of de betrokkene door dat besluit anderszins (dus feitelijk) in aanmerkelijke mate wordt getroffen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#bronnen","title":"Bronnen","text":"Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/","title":"Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen","text":"avg-11OntwerpDataverkenning en datapreparatieBeleid en adviesProjectleiderJuristOntwikkelaarPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#vereiste","title":"Vereiste","text":"Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#toelichting","title":"Toelichting","text":"Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden ge\u00efntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie.
Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#bronnen","title":"Bronnen","text":"Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/","title":"Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen","text":"avg-12OrganisatieverantwoordelijkhedenJuristOntwikkelaarPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/#vereiste","title":"Vereiste","text":"Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/#toelichting","title":"Toelichting","text":"Voor de ontwikkeling en gebruik van algoritmes is data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en het algoritme voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/#bronnen","title":"Bronnen","text":"Artikel 32 Algemene Verordening Gegevensbescherming|
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking/#risico","title":"Risico","text":"Er kunnen risico's ontstaan zoals potenti\u00eble cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht/","title":"Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen","text":"avg-13OntwerpDataverkenning en datapreparatieVerificatie en validatieJuristProjectleiderPrivacy en gegevensbescherming
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht/#vereiste","title":"Vereiste","text":"Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht/#toelichting","title":"Toelichting","text":"Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van \u00e9\u00e9n van de volgende voorwaarden:
Het is mogelijk dat algoritmes die niet aan \u00e9\u00e9n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht/#bronnen","title":"Bronnen","text":"Het niet evalueren van de impact van het verwerking van persoonsgegevens in algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potenti\u00eble schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht/#hulpmiddelen","title":"Hulpmiddelen","text":"HulpmiddelenData Protection Impact AssessmentToetsingskader Algoritmes Algemene Rekenkamer"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-01-zorgvuldigheidsbeginsel/","title":"Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.","text":"awb-01OntwerpOntwikkelenVerificatie en validatieProjectleiderBeleid en adviesFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-01-zorgvuldigheidsbeginsel/#vereiste","title":"Vereiste","text":"Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-01-zorgvuldigheidsbeginsel/#toelichting","title":"Toelichting","text":"Het zorgvuldigheidsvereiste eist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en juist wordt genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar informatie, feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming.
Dit betekent dat bij de ontwikkeling en gebruik van algoritmes informatie moet worden vastgelegd over het algoritme. Hierbij kan worden gedacht aan: - Dat het doel en eventuele subdoelen van het algoritme of AI-systeem helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome). - Een bewuste afweging afmaken en vaststellen of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen. - Dat de werking van het algoritme is onderzocht en is vastgesteld dat dit passend is om te gebruiken in een besluitvormingsproces.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-01-zorgvuldigheidsbeginsel/#bronnen","title":"Bronnen","text":"De werking van het algoritmes sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-02-motiveringsbeginsel/","title":"Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit","text":"awb-02OntwerpImplementatieMonitoring en beheerProjectleiderOntwikkelaarTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-02-motiveringsbeginsel/#vereiste","title":"Vereiste","text":"Een besluit berust op een deugdelijke en kenbare motivering.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-02-motiveringsbeginsel/#toelichting","title":"Toelichting","text":"De Awb eist dat een besluit een deugdelijke en kenbare motivering heeft. Dit geldt ook als algoritmes worden ingezet. Een betrokkene moet in staat zijn om te controleren of de overheid een besluit correct heeft genomen. Het motiveringsbeginsel draagt bij aan doelen als verantwoording kunnen afleggen en het bieden van rechtsbescherming. Het kan in samenhang worden gezien met transparantieverplichtingen die voortkomen uit de AVG.
Het is van belang dat inzichtelijk wordt gemaakt in het besluit welke gegevens zijn verwerkt en welke 'aannames' een algoritme bevat. Dit speelt in het bijzonder als gebruik wordt gemaakt van geautomatiseerde besluitvormingsprocessen. Hierbij kan worden gedacht aan:
Dat een besluit tot stand is gekomen met behulp van een algoritme.
Van welke feiten het bestuursorgaan is uitgegaan.
Welke gegevens zijn verwerkt.
Welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen.
Welke regels zijn gebruikt.
Wat de hierachter is (kenbaarheid).
Welke analytische technieken zijn gebruikt.
Waarom deze regels en logica relevant zijn (uitleg)?
Op welke wijze de regels en logica tot stand zijn gekomen en hoe deze regels worden gevalideerd.
Een besluit moet informatie hierover bevatten om als om als voldoende draagkrachtig gemotiveerd te gelden. Het motiveringsbeginsel op grond van de Awb is beperkt tot besluiten in de zin van de Awb.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/awb-02-motiveringsbeginsel/#bronnen","title":"Bronnen","text":"Het is onduidelijk op wat voor manier het algoritmes heeft bijgedragen aan de totstandkoming van een besluit.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/","title":"Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen","text":"bio-01OrganisatieverantwoordelijkhedenBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#vereiste","title":"Vereiste","text":"Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#toelichting","title":"Toelichting","text":"Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn.
Algoritmes en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#bronnen","title":"Bronnen","text":"Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bzk-01-algoritmeregister/","title":"Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister","text":"bzk-01ImplementatieMonitoring en beheerProjectleiderTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bzk-01-algoritmeregister/#vereiste","title":"Vereiste","text":"Bestuursorganen publiceren algoritmes met impact en hoog-risico-AI-systemen in het Nederlandse Algoritmeregister.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bzk-01-algoritmeregister/#toelichting","title":"Toelichting","text":"Het publiceren van algoritmes draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bzk-01-algoritmeregister/#bronnen-bestaand-beleid","title":"Bronnen (bestaand beleid)","text":"Door het niet publiceren van impactvolle algoritmes of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologie\u00ebn die hen kunnen raken. Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritmes en daardoor in hun rechten worden beperkt.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/bzk-01-algoritmeregister/#hulpmiddelen","title":"hulpmiddelen","text":"HulpmiddelenAlgoritmeregister"},{"location":"voldoen-aan-wetten-en-regels/vereisten/dat-01-databankenwet/","title":"Databanken worden alleen gebruikt met toestemming van de databank-producent","text":"dat-01Dataverkenning en datapreparatieJuristData
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/dat-01-databankenwet/#vereiste","title":"Vereiste","text":"Het is verboden om zonder goedkeuring van de producent een databank op te vragen en/of te hergebruiken.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/dat-01-databankenwet/#toelichting","title":"Toelichting","text":"De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. Degene die een substanti\u00eble financi\u00eble en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. Bij verkrijgen gaat het om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen\". Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).
Voor het ontwikkelen van algoritme is data nodig. De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/dat-01-databankenwet/#bronnen","title":"Bronnen","text":"Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes, wordt het databankenrecht geschonden van de eigenaar. De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-01-fundamentele-rechten/","title":"Algoritmes schenden geen grondrechten of mensenrechten","text":"grw-01ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderJuristFundamentele rechten
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-01-fundamentele-rechten/#vereiste","title":"Vereiste","text":"Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-01-fundamentele-rechten/#toelichting","title":"Toelichting","text":"Mensenrechten gelden voor alle mensen op de wereld. De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. Deze rechten heten ook wel \u2019grondrechten\u2019. Een bekend voorbeeld is artikel 1 van de Grondwet. Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.
Mensenrechten kunnen soms onder druk komen te staan. De inzet van algoritmes kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-01-fundamentele-rechten/#bronnen","title":"Bronnen","text":"Grondrechten kunnen worden geraakt door de inzet van algoritmes met eventuele schadelijke gevolgen voor betrokkenen.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-01-fundamentele-rechten/#hulpmiddelen","title":"hulpmiddelen","text":"HulpmiddelenImpact Assessment Mensenrechten en AlgoritmesThe Fairness HandbookHandreiking non-discriminatie by designDiscriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-02-non-discriminatie/","title":"Algoritmes discrimineren niet","text":"grw-02Dataverkenning en datapreparatieVerificatie en validatieMonitoring en beheerProjectleiderBias en non discriminatie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-02-non-discriminatie/#vereiste","title":"Vereiste","text":"Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-02-non-discriminatie/#toelichting","title":"Toelichting","text":"Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/grw-02-non-discriminatie/#bronnen","title":"Bronnen","text":"Het risico bestaat dat het model onwenselijke systematische afwijkingen cre\u00ebert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/","title":"Iedereen kan openbare informatie over algoritmes vinden of aanvragen","text":"woo-01OrganisatieverantwoordelijkhedenJuristProjectleiderTransparantie
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#vereiste","title":"Vereiste","text":"Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#toelichting","title":"Toelichting","text":"Bij het ontwikkelen en gebruiken van algoritmes kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).
In de context van het ontwikkelen en gebruiken van algoritmes is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.
"},{"location":"voldoen-aan-wetten-en-regels/vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#bronnen","title":"Bronnen","text":"Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.
"}]} \ No newline at end of file diff --git a/pr-preview/pr-487/sitemap.xml b/pr-preview/pr-487/sitemap.xml new file mode 100644 index 0000000000..1923291f92 --- /dev/null +++ b/pr-preview/pr-487/sitemap.xml @@ -0,0 +1,811 @@ + +v1.6.1-35-g09770719c
+ + + + + + + + + + + + + + + + + + + + + + +In de AI-verordening staan de Europese regels voor het verantwoord ontwikkelen en gebruiken van AI. Ongewenste AI is verboden vanaf 2 februari 2025. Andere AI-systemen moeten vanaf 2026 of vóór 2030 voldoen aan bepaalde vereisten.
+Verordening (EU) 2024/1689 (AI-verordening)
+De AI-verordening is de eerste uitgebreide wet over artificiële intelligentie (AI) ter wereld. De regels gelden voor alle Europese lidstaten.
+De AI-verordening trad in werking op 1 augustus 2024 en gaat stap voor stap gelden. De eerste regels gaan in op 2 februari 2025. Vanaf 2 augustus 2025 geldt de volgende set regels. Op 2 augustus 2027 gaan de laatste regels in. Dan is de hele AI-verordening van kracht.
+De AI-verordening geldt in deze 3 situaties samen:
+Het maakt niet uit waar je AI-producten ontwikkelt. Ontwikkel je buiten de EU, maar is je organisatie gevestigd in een EU-land? Dan geldt de EU-verordening.
+Het doel van de AI-verordening is om verantwoord gebruik van AI te stimuleren in de hele EU. Daarom gelden in alle EU-landen dezelfde regels voor het:
+Het gaat dan om nieuwe risico’s, zoals misleiding en discriminatie door AI-systemen. Bestaande regels zoals de Algemene verordening gegevensbescherming (AVG) en de Algemene wet bestuursrecht (Awb) beschermen voor een deel tegen de risico’s van AI. De AI-verordening vult deze regels aan.
+De AI-verordening geldt voor AI-systemen. Volgens de verordening is dit:
+'(…) een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na de uitrol aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen.'
+Hieronder vallen systemen die kunstmatig intelligent zijn door zelflerende technieken zoals:
+Onder AI-systemen vallen ook systemen die gebruik maken van op logica en kennis gebaseerde benaderingen (knowledge and logic-based approaches) die leren, redeneren of modelleren mogelijk maken.
+Symbolische AI is meestal ook een AI-systeem.
+Onder AI-systemen vallen geen systemen die gebaseerd zijn op door mensen gemaakte regels om automatisch handelingen uit te voeren.
+De AI-verordening deelt AI op in risicogroepen. Hoe groter het risico van AI voor de samenleving, hoe strenger de regels uit de AI-verordening. Het hangt ervan af waarvoor je dit AI-systeem gebruikt.
+Dit zijn AI-systemen die je gebruikt voor:
+Over deze systemen moet je transparant zijn. Gebruikers mogen niet denken dat zij te maken hebben met echte mensen of originele content.
+Zie AI-verordening, hoofdstuk IV.
+Dit zijn AI-systemen die je gebruikt als veiligheidsonderdeel van bepaalde producten of AI-systemen die je gebruikt voor bepaalde diensten of processen.
+'Gebruiken als veiligheidsonderdeel' betekent dat je AI-systeem een belangrijke rol speelt in de veiligheid van een product. En dit product valt onder de harmonisatiewetgeving van de EU, zoals:
+Zie AI-verordening, bijlage I.
+'Gebruik voor bepaalde diensten of processen' zijn:
+Zie AI-verordening, bijlage III.
+Dit zijn AI-systemen die:
+Zie AI-verordening, artikel 5.
+Organisaties die verboden AI ontwikkelen of gebruiken, moeten deze producten vóór 2 februari 2025 uitfaseren.
+Organisaties die AI-systemen ontwikkelen, moeten ervoor zorgen dat deze producten vóór 2026 voldoen aan bepaalde vereisten, zoals:
+Met de beslishulp AI-verordening bepaal je snel en gemakkelijk of jouw AI-product onder de AI-verordening valt. En wat je dan moet doen.
+Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +OntwerpOntwikkelenJuristOntwikkelaarProjectleiderBeleid en adviesPrivacy en gegevensbeschermingDuurzaamheidFundamentele rechtenTechnische robuustheid en veiligheidTransparantieMenselijke controleData
+ +In 2019 publiceerde de High-Level Expert Group on Artificial Intelligence (AI HLEG), opgericht door de Europese Commissie, de Ethics Guidelines for Trustworthy Artificial Intelligence. De ALTAI is een hulpmiddel dat ontwikkelaars en organisaties helpt hun AI-systemen te beoordelen, gebaseerd op deze Ethics Guidelines for Trustworthy Artificial Intelligence. Het helpt te bepalen of het AI-systeem dat wordt ontwikkeld, ingezet, aangeschaft of gebruikt, voldoet aan zeven vereisten van betrouwbare AI:
+De ALTAI is bedoeld voor zelfevaluatie. Het hulpmiddel is verankerd in de bescherming van de fundamentele rechten van mensen, de term die in de Europese Unie wordt gebruikt om te verwijzen naar de mensenrechten die zijn vastgelegd in de EU-verdragen, het Handvest van de Grondrechten, en het internationale mensenrechtenrecht.
+De ALTAI is bedoeld voor flexibele inzet: organisaties kunnen gebruikmaken van de relevante onderdelen van dit hulpmiddel voor een specifiek AI-systeem of er elementen aan toevoegen die zij passend achten, rekening houdend met de sector waarin zij opereren. Het helpt organisaties te begrijpen wat betrouwbare AI inhoudt, in het bijzonder welke risico's een AI-systeem zou kunnen meebrengen en hoe deze risico's kunnen worden geminimaliseerd terwijl de kansen van AI worden gemaximaliseerd. Organisaties halen het meeste waarde uit de ALTAI door de gestelde vragen uitgebreid te beantwoorden, die zijn bedoeld om zorgvuldige reflectie te stimuleren en passende vervolgacties aan te formuleren, en een organisatiecultuur te bevorderen die zich inzet voor de ontwikkeling van betrouwbare AI-systemen. Het vergroot het bewustzijn van de mogelijke impact van AI op de samenleving, het milieu, consumenten, werknemers en burgers (in het bijzonder kinderen en mensen die tot gemarginaliseerde groepen behoren).
+De ALTAI biedt houvast bij het evalueren van in hoeverre een betreffend AI-systeem voldoet aan de zeven vereisten van betrouwbare AI, zoals geformuleerd door de EU. Deze zeven vereisten en de ALTAI hebben samen de basis gevormd voor de AI-verordening.
+De ALTAI is ontwikkeld door de High-Level Expert Group on Artificial Intelligence van de Europese Commissie.
+OntwerpImplementatieMonitoring en beheerJuristOntwikkelaarProjectleiderTechnische robuustheid en veiligheid
+ +De BIO is het basisnormenkader voor informatiebeveiliging voor alle overheidslagen, waardoor een gezamenlijke norm voor informatiebeveiliging is ontstaan. Het gebruik van 1 normenkader voor de gehele overheid biedt een aantal voordelen:
+Op dit moment wordt er gewerkt aan de BIO2.0. Omdat de BIO2.0 pas eind 2024 van kracht zal worden, is op 1 juni 2023 de handreiking BIO2.0-opmaat opgeleverd. In deze handreiking is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van de ISO-27002. Naast tekstuele wijzigingen, zijn ook een aantal overheidsmaatregelen geactualiseerd, vanwege nieuwe dreigingen, zoals ransomware. Naast de verhoging van de feitelijke veiligheid, wordt ook geanticipeerd op aanpassingen die in de BIO2.0 zullen worden doorgevoerd. Overheidsorganisaties doen er goed aan deze actualisatie in hun beveiliging door te voeren.
+Iedere overheidsorganisatie is verplicht de BIO in te voeren. De BIO is in december 2018 vastgesteld door de ministerraad voor de Rijksoverheid. Daarvoor was door de gemeenten, waterschappen en provincie reeds besloten tot invoering van de BIO. De overheidslagen zijn per 1 januari 2019 gestart met de implementatie van de BIO. Iedere overheidslaag heeft daarvoor zelf een implementatiepad opgesteld. De minister van BZK heeft bepaald dat in het digitale verkeer met het Rijk de BIO wordt gehanteerd.
+De interbestuurlijke werkgroep-BIO draagt zorg voor het onderhoud op de BIO. Onder het voorzitterschap van BZK zijn in de werkgroep de 4 overheidskoepels vertegenwoordigd: CIO Rijk, Vereniging Nederlandse Gemeenten, InterProvinciaal Overleg en Unie van Waterschappen. Verder bestaat de werkgroep uit een aantal grote uitvoeringsorganisaties, het Forum Standaardisatie, het Nationaal Cybersecurity Centrum en het Centrum voor Informatiebeveiliging & Privacybescherming. Besluitvorming over de BIO vindt plaats in het kern-IBO, waarin onder voorzitterschap van BZK vertegenwoordigers van de 4 overheidskoepels zitting hebben.
+| Vereiste |
|---|
| aia-10 - Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig. |
| bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen |
| Maatregel |
|---|
| None |
ProbleemanalyseOntwerpBeleid en adviesJuristOntwikkelaarProjectleiderDataFundamentele rechten
+ +DEDA is ontwikkeld door de Data School van de Universiteit Utrecht en bestaat uit een toolkit die helpt bij het in kaart brengen van ethische kwesties bij dataprojecten, bij het documenteren van het beraadslagingsproces en bij de bevordering van de verantwoording aan de diverse stakeholders en het publiek.
+DEDA bestaat uit een poster voor brainstormsessies, een interactieve vragenlijst en een handleiding. Alle tools zijn gepubliceerd door de Data School van de Universiteit Utrecht.
+DEDA bevordert verantwoordingsplicht, onderwijst gebruikers, communiceert problemen en ondersteunt projectmanagement.
+DEDA is een belangrijk hulpmiddel omdat het helpt bij de vroege identificatie en bespreking van ethische kwesties in dataprojecten. Net als de IAMA, biedt DEDA een gestructureerde aanpak om de implicaties van datagebruik en algoritmische besluitvorming te beoordelen. +Het ondersteunt overheden bij het naleven van het zorgvuldigheidsbeginsel en maakt ethische afwegingen inzichtelijk als onderdeel van de besluitvorming. +Door een interactieve vragenlijst en documentatie bevordert DEDA verantwoordingsplicht en transparantie.
+DEDA stimuleert interdisciplinaire samenwerking en helpt beleidsmakers, juristen en ontwikkelaars de ethische dimensies van data-analyse beter te begrijpen. +Dit draagt bij aan zorgvuldige en rechtvaardige datagedreven oplossingen binnen de publieke sector. DEDA draagt bij aan transparantie en uitlegbaarheid van datagebruik, essentieel voor publiek vertrouwen.
+DEDA is ontwikkeld door de Data School van de Universiteit Utrecht. DEDA is in nauwe samenwerking met data-analisten ontwikkeld. Inmiddels is DEDA een wijdverspreid instrument, waar de Utrecht Data School ook trainingen en begeleiding bij geeft. Via deze link is meer informatie te vinden.
+| Vereiste |
|---|
| awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. |
| Maatregel |
|---|
| pba-03 - Beschrijf waarom een algoritme het probleem moet oplossen |
| 2-owp-02-gebruikte-data |
ProbleemanalyseOntwerpDataverkenning en datapreparatieBeleid en adviesJuristProjectleiderPrivacy en gegevensbescherming
+ +Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? +Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. +Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. +En je dus een DPIA moet uitvoeren. +De volgende criteria kunnen hierbij helpen:
+De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:
+Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. +Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. +Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. +Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. +Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. +Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. +Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden geëvalueerd.
+Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.
+De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.
+| Maatregel |
|---|
| owk-03 - Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden |
ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarJuristBeleid en adviesFundamentele rechtenTransparantie
+ +Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. +Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. +Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. +Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). +Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico’s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.
+Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. +In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. +Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.
+Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Schäfer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.
+| Vereiste |
|---|
| aia-29 - Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten |
| grw-01 - Algoritmes schenden geen grondrechten of mensenrechten |
Geen maatregelen beschikbaar voor dit hulpmiddel.
+ +Impact Assessment Mensenrechten en Algoritmes
+Benieuwd naar ervaringen in de praktijk? Bekijk het rapport IAMA in Actie voor de lessons learned van 15 IAMA-trajecten bij Nederlandse overheidsorganisaties.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +Monitoring en beheerProjectleiderOntwikkelaarTransparantie
+Direct naar het Algoritmeregister
+De regering wil dat de overheid algoritmes verantwoord gebruikt. +Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. +En er moet uitleg zijn over hoe algoritmes werken. +Het Algoritmeregister helpt hierbij. +Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.
+Je kunt hier meer lezen over de doelen van het Algoritmeregister.
+In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. +Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.
+| Vereiste |
|---|
| bzk-01 - Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister |
| Maatregel |
|---|
| imp-04 - Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister |
Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +ProbleemanalyseOntwerpProjectleiderBias en non discriminatieFundamentele rechten
+Direct naar het Fairness Handbook
+Het Fairness Handbook biedt overheidsorganisaties een gedetailleerde richtlijn om eerlijkheid in algoritmen te waarborgen en schadelijke vooroordelen binnen AI-systemen te verminderen. Het handboek, dat origineel is ontwikkeld voor de Gemeente Amsterdam, richt zich op het voorkomen en mitigeren van vooroordelen en oneerlijke uitkomsten (bias) door middel van een gestructureerde Fairness Pipeline. Deze pipeline behandelt alle fasen van het ontwikkelproces, van het formuleren van het probleem tot de uiteindelijke implementatie en monitoring. Dit hulpmiddel biedt inzicht in de soorten schadelijke effecten van AI (zoals representatiebias en denigratieschade) en introduceert specifieke technieken, zoals het uitvoeren van een bias-analyse en het gebruik van contra-feitelijke scenario's (counterfactual fairness), om te controleren of de algoritmen rechtvaardige resultaten opleveren.
+Naast praktische technieken voor het meten en mitigeren van vooroordelen, definieert het Fairness Handbook verschillende eerlijkheidsprincipes en bijbehorende statistische metrics. Deze metrics helpen ontwikkelaars en beleidsmakers om de prestaties van modellen te analyseren en verschillen in modelprestaties tussen verschillende groepen te detecteren. Door de nadruk te leggen op transparantie, zowel in de keuze van datasets als in de manier waarop het model beslissingen neemt, helpt het handboek om het vertrouwen in AI-systemen te vergroten en discriminerend gedrag in algoritmen te verminderen.
+Het Fairness Handbook biedt ondersteuning voor overheden die streven naar verantwoorde, niet-discriminerende algoritmische besluitvorming. Het handboek ondersteunt overheidsinstanties bij het identificeren en corrigeren van vooroordelen in datasets en algoritmes, waardoor het risico op schadelijke effecten, zoals ongelijke verdeling van kansen of kwaliteit van dienstverlening, wordt geminimaliseerd. Het hulpmiddel sluit nauw aan bij andere hulpmiddelen, zoals de IAMA, door richtlijnen te geven voor het beoordelen van specifieke eerlijkheidsaspecten in de context van datagebruik en algoritmeontwikkeling.
+Door de combinatie van technische en niet-technische benaderingen bevordert het Fairness Handbook een holistische benadering van algoritmische eerlijkheid. Er wordt rekening gehouden met zowel de technische als de sociale en ethische dimensies. Dit maakt het een bruikbaar hulpmiddel voor diverse overheidsprojecten, waaronder de ontwikkeling van AI-toepassingen in het sociaal domein en besluitvormingsprocessen waarbij kansengelijkheid van groot belang is.
+Het Fairness Handbook is ontwikkeld in 2022 door de Gemeente Amsterdam, met als doel de eerlijkheid en transparantie van haar AI-systemen te verbeteren. Het project is tot stand gekomen in samenwerking met diverse stakeholders, waaronder datawetenschappers, ethici en beleidsmakers, om ervoor te zorgen dat het handboek aansluit bij de bredere maatschappelijke behoeften en regelgeving. Door deze samenwerking biedt het Fairness Handbook een gebalanceerd perspectief, met aandacht voor zowel technische oplossingen als ethische en juridische overwegingen die nodig zijn voor verantwoorde AI-toepassingen.
+| Vereiste |
|---|
| grw-01 - Algoritmes schenden geen grondrechten of mensenrechten |
| grw-02 - Algoritmes discrimineren niet |
| aia-04 - Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen. |
| Maatregel |
|---|
| dat-01 - Controleer de datakwaliteit |
| ver-01 - Toets het algoritme op bias |
| imp-02 - Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie’ te controleren |
Heb jij een goed voorbeeld van het gebruik van het Fairness Handbook op het gebied van algoritmen? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +ProbleemanalyseOntwerpProjectleiderBeleid en adviesMenselijke controleTransparantieFundamentele rechten
+Direct naar het Framework for Meaningful Engagement
+Het Framework for Meaningful Engagement biedt organisaties een praktische aanpak om verschillende stakeholders effectief te betrekken in processen rondom AI en algoritmes. +Het beschrijft stapsgewijs hoe men betrokkenheid kan ontwerpen en uitvoeren, met de nadruk op drie pijlers:
+Het framework helpt organisaties om input van belanghebbenden daadwerkelijk te integreren, wat leidt tot duurzamere, inclusievere besluitvorming.
+Betekenisvolle betrokkenheid van stakeholders is cruciaal voor verantwoord algoritmegebruik. +Voor overheden biedt dit framework handvatten om transparanter te zijn over de ontwikkeling en impact van algoritmes en om een goed proces in te richten bij het gebruik van een algoritme. Dit sluit aan bij eisen rond menselijke controle.
+Het framework is ontwikkeld door de European Center for Not-for-Profit Law Stichting (ECNL) en SocietyInside, als onderdeel van de Deense Tech for Democracy Initiative. De totstandkoming vond plaats via een consultatieproces met bijdragen van meer dan 150 individuen en organisaties wereldwijd, waaronder belanghebbenden uit het maatschappelijk middenveld, bedrijfsleven en overheden. +Het framework bouwt voort op de VN-richtlijnen voor bedrijfs- en mensenrechten.
+| Vereiste |
|---|
| aia-08 - Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen. |
| aia-09 - Hoog-risico-AI-systemen staan onder menselijk toezicht. |
| aia-23-gebruiksverantwoordelijken-menselijk-toezicht |
OntwikkelenImplementatieProjectleiderOntwikkelaarBias en non discriminatieFundamentele rechten
+Direct naar de Handreiking non-discriminatie by design
+Deze handreiking legt uit welke vragen en principes leidend zijn bij het ontwikkelen en implementeren van een AI-systeem met het oog op het discriminatieverbod, vanuit zowel juridisch, technisch, als organisatorisch perspectief. +De handreiking is een praktisch toepasbaar ontwerpkader dat ontwikkelaars helpt om al in de ontwikkelfase van een AI-systeem discriminerende patronen zoveel mogelijk te identificeren, te voorkomen en te bestrijden.
+Er zijn 4 uitgangspunten die leidend zijn in de handreiking:
+Stuk over relevantie voor het AK volgt nog. +Net als bij het IAMA, is dit document een manier om een multidisciplinaire discussie te faciliteren en stimuleren. Hierbij kunnen verschillende rollen betrokken worden door de projectleider: data-scientists, juristen, de functionaris gegevensbescherming (FG), aangevuld met domeinspecialisten.
+De handreiking is primair geschreven voor teams die zelf AI-systemen bouwen. Het gaat in op verschillende fases van ontwikkeling: probleemanalyse, dataverkenning en datapreparatie, ontwikkeling, implementatie en evaluatie. +Daarnaast kan deze handreiking dienen voor opdrachtgevers van AI-systemen, ofwel om vooraf offrerende partijen te vragen aan te geven hoe zij rekening zullen houden met de diverse punten uit de handreiking, ofwel om tijdens het proces mee te kijken en op relevante punten aanwijzingen te geven, ofwel om achteraf te controleren of een opgeleverd product aan alle relevante voorwaarden voldoet.
+Gebruikers van zowel de Handreiking non-discriminatie by design als het IAMA geven enkele verschillen tussen de twee instrumenten. Deze bevindingen zijn te vinden in het rapport 'Bekendheid, toepasbaarheid en toegevoegde waarde handreiking “non-discriminatie by design"' van de Auditdienst Rijk.
+Zij geven aan dat het IAMA wordt gezien als instrument voor het nagaan van de impact van grondrechten in algemenere zin, waar de Handreiking zich specifiek richt op discriminatie. De handreiking bevat dan weer meer praktische voorbeelden die kunnen helpen bij begrip en afwegingen, waar de IAMA wat abstracter is.
+Over het Fairness Handbook werd in het rapport aangegeven dat het een technischere uitwerking bevat dan de Handreiking. Het Handbook biedt wellicht meer houvast voor iemand die analyses maakt om inzicht te geven in de prestaties van het algoritme met het oog op ‘fairness’ en ‘bias’. Dit komt doordat het Handbook meer details geeft over de technische stappen die nodig zijn om te komen tot bepaalde analyses.
+Ook het toetsingskader voor discriminatie door risicoprofielen van het College voor de Rechten van de Mens kan worden gebruikt om te bepalen of er discriminatie plaatsvindt. Dit kader is afkomstig uit 2021 en er wordt gewerkt aan een nieuwe versie, die waarschijnlijk eind 2024 zal verschijnen. De verschillende stappen die daarin gebruikt worden om te bepalen of een risicoprofiel tot discriminatie leidt op grond van ras of nationaliteit, zijn zeer relevant. Daarvoor hebben zij een beslisboom ontwikkeld.
+| Vereiste |
|---|
| grw-01 - Algoritmes schenden geen grondrechten of mensenrechten |
| grw-02 - Algoritmes discrimineren niet |
| aia-04 - Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen. |
| Maatregel |
|---|
| dat-01 - Controleer de datakwaliteit |
| ver-01 - Toets het algoritme op bias |
| imp-02 - Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie’ te controleren |
Heb jij een goed voorbeeld van het gebruik van de Handreiking non-discriminatie by design op het gebied van algoritmen? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + +Overzicht van aanbevolen hulpmiddelen voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.
+Met hulpmiddelen bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:
+Deze hulpmiddelen helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico’s van algoritmes en AI.
+Hulpmiddelen die we aanbevelen, zijn:
+Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer hulpmiddelen mogelijk. We maken een selectie om 2 redenen:
+Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).
+De meeste hulpmiddelen zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.
+Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +ProbleemanalyseOntwerpJuristProjectleiderBeleid en adviesPublieke inkoop
+Voorbeelden of templates van inkoopvoorwaarden kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze worden ook wel eens modelcontractbepalingen genoemd. +Deze voorwaarden of bepalingen kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. +Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. +Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.
+De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.
+De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.
+De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.
+De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT‑overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.
+Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.
+Geen vereisten beschikbaar voor deze maatregel.
+ +Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +ProbleemanalyseOntwerpBeleid en adviesJuristBias en non discriminatieFundamentele rechten
+Direct naar het Mensenrechtelijk Toetsingskader
+Let op!
+Dit toetsingskader wordt momenteel vernieuwd. Een nieuwe versie wordt hier gepubliceerd zodra beschikbaar.
+Dit toetsingskader helpt overheidsfunctionarissen om te bepalen wanneer risicoprofielen leiden tot discriminatie op grond van ras of nationaliteit. +Het presenteert de (denk)stappen die doorlopen moeten worden om te toetsen of een risicoprofiel binnen de grenzen van het discriminatieverbod blijft. +Het is belangrijk om te benadrukken dat het hierbij gaat om de juridische ondergrens van het discriminatieverbod, zoals geformuleerd door internationale en nationale rechters. +Aan de regels uit dit toetsingskader moet de overheid zich dus ten minste houden. Dit laat onverlet dat de overheid kan beslissen om strengere regels te hanteren.
+Dit toetsingskader is gebaseerd op geldende verdragen, wetten en jurisprudentie tot aan november 2021. De normen en jurisprudentie op dit terrein zijn echter continu in ontwikkeling. Zo heeft het gerechtshof Den Haag in 2023 in een belangrijke uitspraak vastgesteld dat het gebruik van etnische kenmerken als een van de selectiecriteria voor controle, zoals dat plaatsvond binnen het ‘Mobiel Toezicht Veiligheid’ door de Koninklijke Marechaussee, in strijd is met het discriminatieverbod.
+Ook op Europees niveau is er nieuwe relevante jurisprudentie verschenen. Dit alles biedt een verdere aanscherping en concretisering van de geldende normen. Het College werkt daarom op dit moment aan een aangepast en doorontwikkeld toetsingskader waarin alle nieuwe ontwikkelingen worden verwerkt.
+Het spreekt voor zich dat overheidsinstanties zich bij het uitvoeren van hun taken moeten onthouden van discriminatie. Recente voorbeelden zoals de Kinderopvangtoeslagaffaire laten echter zien dat het in de praktijk toch mis kan gaan. Duidelijk is dat discriminerende elementen toch in risicoprofielen voorkomen. Dat heeft er mede mee te maken dat het voor medewerkers van uitvoeringsinstanties niet altijd duidelijk is wat in welke context wel en niet mag.
+Er komt daarbij veel kijken bij de beoordeling of een risicoprofiel binnen de grenzen van het discriminatieverbod blijft, zeker wanneer afkomst-gerelateerde kenmerken als selectiecriteria binnen dit risicoprofiel een rol spelen. In alle gevallen zal nauwkeurig afgewogen moeten worden welke kenmerken voor welke doeleinden worden gebruikt en hoe zich dat verhoudt tot het toepasselijke wettelijke kader. Dit toetsings- kader biedt handvatten voor het maken van deze afweging.
+Het Mensenrechtelijk Toetsingskader is ontwikkeld door het College voor de Rechten van de Mens.
+| Vereiste |
|---|
| grw-01 - Algoritmes schenden geen grondrechten of mensenrechten |
| grw-02 - Algoritmes discrimineren niet |
| Maatregel |
|---|
| ver-01 - Toets het algoritme op bias |
OntwerpImplementatieMonitoring en beheerProjectleiderBeleid en adviesGovernance
+Direct naar het Onderzoekskader Algoritmes
+Dit onderzoekskader is een instrument om de beheersing van algoritmes in kaart te brengen. +Het geeft inzicht in de risico’s die algoritmes met zich meebrengen en met welke maatregelen deze +risico’s beheerst (kunnen) worden.
+Het onderzoekskader is in eerste instantie bedoeld als instrument voor auditors om de beheersing +en werking van algoritmes binnen overheidsorganisaties te onderzoeken, maar is ook bruikbaar +voor andere partijen om inzicht te krijgen in de huidige en/of gewenste beheersing van algoritme(s).
+Het kader richt zich op algoritmes die binnen overheidsorganisaties gebruikt worden. Het is +ingericht op algoritmes die zelf van voorbeelden leren, zoals machine learning, maar is ook +toepasbaar op regelgebaseerde algoritmes. Het kader is ook bruikbaar voor andere organisaties +en kan bij verschillende fases van de levenscyclus van een algoritme worden ingezet. Mogelijk zijn +niet alle thema’s relevant gezien de context van het algoritme. De opdrachtgever en auditor(s) +dienen daarom voorafgaand aan een onderzoek te analyseren en te bepalen welke thema’s en +onderwerpen worden onderzocht. Het onderzoekskader is ingedeeld in 4 thema’s:
+Ethiek raakt alle thema’s en komt daarom bij elk thema in het kader terug. Elk thema bevat +deelgebieden en de risico’s en beheersmaatregelen die daarbij horen (inclusief de bron). +Ook deze kunnen weer gerelateerd zijn aan een ander thema. Een apart werkbestand voor +auditors is opgesteld wat kan worden gebruikt bij het uitvoeren van een onderzoek. Dit bestand +heeft dezelfde opbouw, maar bevat ook invulvelden om als auditor het risico (kans x impact) in te +schatten en de bevindingen op te nemen. Daarnaast zijn toelichtingen en voorbeelden van checks +en evidence opgenomen per beheersmaatregel.
+Het onderzoekskader is ontwikkeld met behulp van nationale en internationale richtlijnen en +kaders, rapporten en instrumenten, zoals de Ethics guidelines for trustworthy AI van de Europese +Commissie (EC), Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA), de +richtlijnen van het ministerie van JenV, het DPIA model Rijksoverheid (gebaseerd op o.a. AVG) en +de Guiding Principles Trustworthy AI Investigations van NOREA (beroepsvereniging IT-auditors +Nederland). De bron van de betreffende risico’s en beheersmaatregelen is tevens opgenomen.
+Dit onderzoekskader is erg overkoepelend (net als het toetsingskader van de Algemene Rekenkamer). Er zijn dan ook veel maatregelen in het Algoritmekader gebaseerd op maatregelen die in het kader van de ADR staan. Bekijk alle maatregelen van het Algoritmekader hier.
+Het Onderzoekskader Algoritmes is ontwikkeld door de Auditdienst Rijk
+| Vereiste |
|---|
| aia-06 - Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie. |
Geen maatregelen beschikbaar voor dit hulpmiddel.
+ + + + + + + + + + + + + + + + + + + + + + + + +Monitoring en beheerVerificatie en validatieProjectleiderBeleid en adviesJuristGovernance
+Direct naar het Toetsingskader
+Het toetsingskader omvat 5 perspectieven op algoritmes, elk met hun belangrijkste risico's geformuleerd. Het gaat om Sturing en Verantwoordelijkheid, Model en Data, Privacy, IT-beheer en Ethiek. Voor elk risico is er een specifieke onderzoeksvraag opgesteld. Door deze vragen te beantwoorden en een score toe te kennen, krijgt de gebruiker inzicht in hoe goed het gekozen algoritme de risico's beheerst.
+De mate van risico voor een specifiek algoritme wordt bepaald door twee factoren: de gebruikte geavanceerde technieken en de impact van het algoritme op de burger.
+Het toetsingskader is in eerste instantie bedoeld als toetsinstrument voor auditors (controleurs en toezichthouders). Zij kunnen dit kader gebruiken om de risico's van het beoordeelde algoritme in beeld te krijgen.
+Het digitale toetsingskader 'Aandacht voor algoritmes' is ontwikkeld vanwege de toenemende maatschappelijke aandacht voor algoritmes en de behoefte aan een integraal instrument voor toetsing en analyse. Het is gebaseerd op bestaande informatie en raamwerken, zowel binnen het Rijk als door externe partijen zoals NOREA en grote accountantskantoren.
+Dit onderzoekskader is erg overkoepelend (net als het onderzoekskader van de ADR). Er zijn dan ook veel maatregelen in het Algoritmekader gebaseerd op maatregelen die in het kader van de Algemene Rekenkamer staan. Bekijk alle maatregelen van het Algoritmekader hier.
+Het Toetsingskader Algoritmes is ontwikkeld door de Algemene Rekenkamer
+Geen maatregelen beschikbaar voor dit hulpmiddel.
+ + + + + + + + + + + + + + + + + + + + + + + + +Overzicht van de belangrijkste vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.
+Maatregelen waarmee je kunt voldoen aan de vereisten voor overheden. Deze maatregelen zijn niet verplicht.
+Hulpmiddelen waarmee je kunt voldoen aan de vereisten voor overheden. Deze hulpmiddelen zijn niet verplicht.
+De Europese regels voor het verantwoord ontwikkelen en gebruiken van AI. Inclusief tijdlijn.
+Geldt de AI-verordening geldt voor jouw AI-product? En aan welke vereisten moet je dan voldoen?
+org-01OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en stel vast of er voldoende expertise en capaciteit beschikbaar is.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +org-04OrganisatieverantwoordelijkhedenBeleid en adviesGovernanceTransparantie
+Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.
+Een duidelijk beleid over de inzet van algoritmes helpt organisaties te voldoen aan de vereisten voor het verantwoord gebruik ervan. Hierin worden zaken beschreven als:
+Hoe de inzet van algoritmes gaat bijdragen aan het realiseren van de organisatiedoelstellingen.
+Het beschrijven van de stappen die moeten worden gezet om algoritmes op een verantwoorde wijze in te gaan zetten. Dit is afhankelijk en verschilt per type algoritme en de bijbehorende risicoclassificatie.
+Het beschrijven van welke hulpmiddelen in welke gevallen moeten worden ingezet om te voldoen aan de vereisten die gelden voor algoritmes. Hierbij kan worden gedacht aan:
+Hoe burgers worden geïnformeerd over de inzet van algoritmes door de organisatie (communicatiestrategie) en welke kanalen hiervoor kunnen worden gebruikt. Hierbij kan worden gedacht aan:
+Er is beschreven welke informatie over welke typen algoritmes wordt gecommuniceerd met betrokkenen bij de ontwikkeling of gebruik ervan door de organisatie.
+Er is beschreven welke stappen worden gezetten in het geval dat er incidenten ontstaan rondom de inzet van algoritmes, denk hierbij aan een discriminatieprotocol.
+Dit beleidsdocument is beschikbaar en toegankelijk voor geïnteresseerden.
+| Vereiste |
|---|
| awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. |
Zonder duidelijk beleid over de inzet van algoritmes kan het gebeuren dat algoritmes worden ontwikkeld of gebruikt die niet passend zijn binnen de organisatie.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +org-03OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes.
+Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
+Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +org-04OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernanceTransparantie
+Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
+Kleur bekennen - vervolgonderzoek algoritmes
+Voorbeeld gemeente Rotterdam
+Één van de belangrijkste hoofdconclusies van het rapport Kleur Bekennen van de gemeente Rotterdam, opgesteld door de Algemene Rekenkamer, onderstreept het belang van actief bestuur binnen algoritme- en AI-governance:
+++"Het ontbreekt aan een politiek-bestuurlijk kader dat duidelijk maakt welke normen en principes leidend zijn bij de ontwikkeling en het gebruik van algoritmes. Dit heeft als effect dat belangrijke besluit over bijvoorbeeld wenselijkheid, haalbaarheid, transparantie en bias bij de ambtelijke organisatie komen te liggen. Deze besluiten vragen om een politieke afweging".
+
De algoritmegovernance van de Gemeente Rotterdam bestaat uit de volgende onderdelen:
+Deze stappen volgen kan helpen bij het inrichten van een algoritmegovernance.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +org-05OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
+Bij de vormgeving van een algoritmegovernance van een organisatie is het van belang om aansluiting en samenwerking te bewerkstelligen met huidige governancestructuren binnen de organisatie, zoals:
+IT governance
+informatiebeveiliging zoals governance rondom de NIS2 richtlijn
+Deze governancestructuren kunnen waardevolle aanknopingspunten bieden voor algoritmegovernance, omdat hierin vaak al duidelijke afspraken zijn gemaakt en processen zijn geschreven om bijvoorbeeld risico's zo goed mogelijk te managen.
+In veel organisaties werken bijvoorbeeld privacy- en informatiebeveiliging en informatiebeheerders nauw samen van strategisch organisatieniveau tot operationeel, omdat deze onderwerpen raken aan beide domeinen.
+Voor een verantwoorde inzet van algoritmes zullen deze expertise moeten gaan samengewerkt met andere expertise, zoals die van data science en ethiek.
+Het is van belang dat deze expertises tijdig en voldoende ruimte krijgen om samen te werken, zodat de functionele en niet functionele requirements kunnen worden gedefinieerd voor een verantwoorde inzet van algoritmes.
+Stel vast waar deze expertise elkaar nodig hebben en waar deze zelfstandige taken en verantwoordelijkheden hebben.
+Voorgaande geeft inzichten om te bepalen in hoeverre algoritmegovernance, naast de bestaande governancestructuren, moet worden ingericht.
De volgende vragen kunnen bedragen om bovenstaande inzichtelijk te krijgen: +- Welke lessen zijn geleerd met de implementatie van de AVG of de toepassing van de BIO? +- Is er iemand intern verantwoordelijk gemaakt voor (toezicht op) algoritmes? +- Hoe werken experts vanuit verschillende onderwerpen zoals privacy, informatiebeheer, informatiebeveiliging en data op dit moment samen als het gaat om de inzet van algoritmes?
+Een concreet voorbeeld van samen optrekken is deze handreiking om de IAMA en DPIA gezamelijk uit te voeren.
+Voorbeeld: Ervaringen Kadaster
+Centrale privacy officer Kadaster
+org-06OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Breng de volwassenheid van je organisatie op het gebied van algoritmes in kaart.
+Er zijn verschillende modellen om het volwassenheidsniveau te bepalen. Deze modellen richten zich niet altijd specifiek op het beheer van algoritmes, maar kijken breder naar algoritmes in de organisatie of naar ethische vraagstukken. Governance is altijd een onderdeel van deze modellen.
+Het AI ethics maturity model van Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023) brengt de volwassenheid op verschillende niveau's in kaart op basis van zes categorieën:
+Het datavolwassenheidmodel van de Interbestuurlijke Datastrategie (IBDS) kijkt naar hoe goed organisaties omgaan met data. Dit model is ook belangrijk voor kunstmatige intelligentie (AI), omdat data daar een grote rol speelt. Het model heeft een beslishulp datavolwassenheid waarmee bepaald kan worden hoe volwassen een organisatie is met data. IBDS biedt ook een gids met verschillende manieren om de datavolwassenheid in kaart te brengen.
+Het gebruik van algoritmes wordt vaak gezien als een vorm van innovatie. Hoe kan AI helpen bij het ondersteunen van nieuwe ideeën en het vinden van nieuwe toepassingen? Een voorbeeld van een volwassenheidsmodel over innovatie is de Innovatie Maturity Scan van Innoveren met Impact.
+Het AI Maturity Model en de bijbehorende Organizational Assessment Tool zijn ontwikkeld door de Amerikaanse organisatie MITRE. MITRE is een non-profitorganisatie en enigzins vergelijkbaar met het Nederlandse TNO. Dit volwassenheidsmodel onderscheidt een zestal pijlers in de AI volwassenheid van een organisatie en daarbij een vijftal volwassenheidsniveaus. Het volwassenheidsmodel en assessment zijn goed gedocumenteerd.
+
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes\@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +Richt een algoritmegovernance in met three lines of defence.
+Een inrichting van algoritmegovernance die vaak wordt toegepast is het three lines of defence model:
+Schuett (2022) presenteert het three lines of defence model als volgt:
+Het toepassen van een 'three lines of defence' is slechts één aspect van het toepassen van algoritmegoverance.
+Onder andere de UWV en de Gemeente Rotterdam hanteren dit model met drie linies. Bij de gemeente Rotterdam zijn bijvoorbeeld de drie lijnen ingevuld via de volgende rollen en verantwoordelijkheden: “De eerste lijn bestaat uit de proceseigenaren en de operationeel verantwoordelijken. Proceseigenaren zijn verantwoordelijk voor de gehele algoritmetoepassing en de operationeel verantwoordelijken voor de ontwikkeling. De tweede lijn is de algoritme expert, die een onafhankelijke toezicht- en adviestaak heeft. De derde lijn wordt volgens de stukken die gaan over de algoritme governance vervuld door Financial audit.” (Rekenkamer Rotterdam, 2024)
+ + + + + + + + + + + + + + + + + + + + + + + + +org-08OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Maak gebruik van beslismomenten in de levenscyclus van een algoritme.
+Hieronder volgen twee voorbeelden van hoe governance effectief kan worden geïntegreerd in de levenscyclus van algoritmen en AI-modellen:
+Ministerie VWS In de levenscyclus
+In het hulpmiddel handelingsruimte waardevolle AI in de zorg is tussen elke fase in de levenscyclus een ‘gate’ geplaatst. Tussen de afronding van een fase en de start van de daaropvolgende fase wordt een formele poort geplaatst. Om door deze poort te gaan, moet de voorgaande fase volledig zijn afgerond: vraagstukken dienen beantwoord te zijn, activiteiten uitgevoerd en aan interne en externe vereisten dient te zijn voldaan. Deze zaken kunnen in de vorm van documentatie aan de organisatie worden opgeleverd, waarna een gesprek of review kan plaatsvinden.
+Het vormgeven van deze overgangen geeft verantwoordelijke stakeholders binnen de organisatie een structuur om de ontwikkeling en inzet van algoritmen in elke fase te beoordelen en bij te sturen. De gezamenlijke kernvraag voor alle betrokkenen in de gates is: Geloven we dat de voordelen van de inzet (en ontwikkeling) van dit algoritme opwegen tegen eventueel te verwachten nadelen? En hoe gaan we om met deze dilemma's? Daarbij kunnen opvolgende fasen in de levenscyclus een eigen accentvraag kennen, zoals “Is het beoogde algoritme wenselijk?” in de probleemanalyse fase tot “Levert het algoritme nog de waarde op die we beogen?” tijdens de monitoring- en beheerfase.
+
Voorbeeld: Het UWV
+In haar modellevenscyclus [^3] maakt het UWV gebruik van een gelaagdheid in de “gates” door gebruik te maken van een zachte en harde knip tussen de opvolgende fasen. Enerzijds is er een zachte knip voorzien door aan het eind van elke fase de mogelijkheid te laten om een stap terug te zetten in de levenscyclus. Mocht het onduidelijk zijn wat de beoogde voordelen zijn ten opzichte van de nadelen, of er onvoldoende invulling gegeven is aan de vereisten/activiteiten, dan kan het algoritme of AI-model ontwikkelproces bij een zachte knip een stap terugnemen in de levenscyclus. Anderzijds zijn er 4 harde grenzen in de levenscyclus aangebracht waarin formele vereisten aan het ontwikkeltraject worden opgelegd.
+
Voorbeeld: BD (Analytische en Cognitieve Technologie - CoE Cognitieve Oplossingen)
+Enkele ervaringen m.b.t. levencyclus: +Plot sleutelmomenten en mijlpaal momenen in die nodig zijn om het proces te kunnen laten werken en bepaal de requirements die daarmee samenhangen. +Richt als eerste een basis (b.v. voor low risk) de AI-governance in op operationeel niveau, implementeer deze basis en stel gaandeweg/ondertussen op basis van o.a. best practices de requirements op naar de "wereld" er om heen (tactisch en strategisch niveau).
+Voorbeeld: Algoritmeprocesmodel Ministerie van Defensie
+Het Ministerie van Defensie heeft een "algoritmeprocesmodel" ontwikkeld. Op level 1 is het een levenscyclus zoals ook in het Algoritmekader. Op level 2 wordt ingegaan op de rollen en verantwoordelijkheden. Op level 3 zijn ook formulieren om op specifieke momenten in de AI-levenscyclus de juiste documentatie op te leveren. N.B.: Defensie heeft dit ingericht in Sharepoint, waardoor verantwoordelijken te koppelen zijn aan activiteiten in de levenscyclus.
+Richt algoritmegovernance in op basis van de risicoclassificatie van algoritmes.
+Dit betekent dat algoritmegovernance uitgebreider moet zijn voor de risicovollere, complexere toepassingen dan voor de eenvoudige, niet-risicovolle toepassingen.
+Stel daarom tijdig vast om welk type algoritme het gaat en welke vereisten hiervoor gelden. Dat draagt eraan bij dan alleen wordt gefocust op het realiseren van de vereisten waar daadwerkelijk aan moet worden voldaan. Dit zorgt ervoor dat projecten sneller kunnen worden gerealiseerd.
+Geen vereisten beschikbaar voor deze maatregel.
+ +De gemeente Rotterdam kiest ervoor om de algoritmegovernance alleen in te zetten bij hoog-risico AI-toepassingen. +Deze risicoclassificatie volgt de AI-Verordening. Voor laag-risico toepassingen geldt de standaard governance van de gemeente: de informatiebeveiligings- en privacy governance (Kleur Bekennen, Rekenkamer Rotterdam, 2024, p.71). Tabel 1 geeft inzicht in verschillende typen algoritmen en AI-toepassingen. De afbeelding uit hetzelfde rapport geeft een flowchart van hoe de governance anders is afhankelijk van de risico-categorie.
+
In dit voorbeeld is ook het principe gehanteerd dat naast hoog-risico volgens de AI-verordening, bij ieder algoritme aan de hand van een drietal vragen moet worden besloten of een uitgebreidere algoritmegovernance nodig is. +* Is de werking van het algoritme niet volledig én beknopt uit te leggen aan een gemiddelde Rotterdammer? +* Ontbreekt er een menselijke beoordeling voordat de uitkomst van het algoritme in de praktijk wordt gebracht door middel van een concrete handeling van de gemeente? +* Is het voorstelbaar dat de algoritmetoepassing uitmondt in een onrechtvaardige handeling van de gemeente tegen burgers of bedrijven
+Kijk zelf goed wat passend is voor jouw organisatie.
+Voorbeeld BD (Analytische en Cognitieve Technologie | CoE Cognitieve Oplossingen): +* Richt als eerste een basis (b.v. voor low risk) algoritmegovernance in op operationeel niveau, implementeer deze basis en stel gaandeweg/ondertussen op basis van o.a. best practices de requirements op naar de "wereld" er om heen (tactisch en strategisch niveau).
+ + + + + + + + + + + + + + + + + + + + + + + + +org-10OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
+Three lines of defence - diverse organisaties
+Het three lines of defence model dat zowel de gemeente Rotterdam als het UWV hanteert biedt hiervoor handvatten. De essentie van dit model is het scheiden van drie niveau’s in verantwoordelijkheden om effectieve governance mogelijk te maken. Daarnaast wordt in veel governance structuren een RACI model opgesteld om rollen en verantwoordelijkheden expliciet te maken.
+RACI matrix - diverse organisaties
+RACI is de afkorting voor Responsible (Verantwoordelijk – uitvoerder van de taak), Accountable (Aanspreekbaar – eigenaar van de taak), Consulted (Geconsulteerd) en Informed (Geïnformeerd). De gemeente Rotterdam heeft de interactie tussen rollen/verantwoordelijkheden van algoritme/AI governance en de volledige datamanagement structuur in een RACI model vormgegeven (Bron: Kleur bekennen rekenkamer Rotterdam). Wees bewust dat iedere organisatie anders is, en waarschijnlijk op een andere RACI-matrix uitkomt.
+Niet alles town down vast te leggen - CoE Belastingdienst
+Het te regide vastleggen van functies en bijbehorende taken en verantwoordelijkheden kan nadelen hebben. Een team bij de belastingdienst (Analytische en Cognitieve Technologie | CoE Cognitieve Oplossingen) heeft ervaren dat het definieren van werkpakketten in plaats van uitwerkte functies beter werkt. Alles dient belegd te zijn, maar alles op microniveau vastleggen is vaak niet te doen zonder in de praktijk te staan, en kan avenrechts werken. Wees als algoritmegovernance nog nieuw is zeker in het begin bewust dat inrichting altijd beter kan; ga grondig maar ook flexibel te werk.
+org-11OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesTechnische robuustheid en veiligheidGovernance
+Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
+Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.
+Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:
+Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:
+Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: +- Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. +- Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. +- Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +org-12OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderBeleid en adviesGovernanceMenselijke controle
+Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme.
+Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
+Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +org-13OrganisatieverantwoordelijkhedenProjectleiderOntwikkelaarTechnische robuustheid en veiligheidGovernance
+Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.
+Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:
+Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +org-14OrganisatieverantwoordelijkhedenProjectleiderOntwikkelaarTechnische robuustheid en veiligheidGovernance
+Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.
+Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:
+Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +imp-10OrganisatieverantwoordelijkhedenImplementatieProjectleiderBeleid en adviesBias en non discriminatie
+Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.
+De inzet van algoritme kan onbedoeld leiden tot discriminerende effecten.
+Het is van belang om als organisatie een protocol te hebben vastgesteld waarin is uitgewerkt hoe wordt omgegaan met situaties waarin (een vermoeden van) discriminatie door een algoritme is geconstateerd.
+In een dergelijk protocol kunnen de handelingen worden beschreven die moeten worden uitgevoerd om deze situatie te gaan herstellen.
+Het vaststellen van een dergelijk protocol geeft ontwikkelaar en gebruikers (vooraf) duidelijkheid wat van hen wordt verwacht en wat zij kunnen doen om discriminatie door algoritmes te voorkomen.
+Een voorbeeld hiervan is het analyseren van de data op datakwaliteit en bias in de data en toets regelmatig je algoritmisch systeem op bias.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een discriminatieprotocol opgesteld wat organisaties handvatten biedt.
+Een discriminatieprotocol kan de volgende stappen bevatten:
+Een vermoeden van bevooroordeeldheid of discriminatie kan vanuit verschillende partijen gemeld worden. +Signalen hiervoor kunnen worden ontvangen vanuit de interne organisatie, bijvoorbeeld door de betrokken ontwikkelaars, gebruikers of beheerders, of door externe partijen, zoals belanghebbenden, toezichthouder, journalisten.
+Het is van belang om inzicht en overzicht te krijgen over de oorzaak en de gevolgen van eventuele discriminerende effecten van het algoritme. +Daarvoor kan worden gedacht aan het uitvoeren van een bias analyse.
+Bepaal welke mitigerende maatregelen er genomen moeten worden. Als er in het onderzoek is vastgesteld dat er sprake is van discriminatie, dan moet het betreffende systeem worden stopgezet. Hierbij kan je denken aan:
+De conclusies van de eerdere stappen moeten, indien nodig, worden gemeld bij de betreffende instanties. De eventuele gedupeerde burgers dienen te worden geïnformeerd over de gevolgen.
+Informeer de betrokken burgers over de sitatie. Maak indien nodig excuses en geef de mensen die (mogelijk) geraakt zijn uitleg zodat zij:
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-01ProbleemanalyseProjectleiderGovernanceTransparantie
+Formuleer en documenteer wat de aanleiding is om een algoritme in te willen zetten. +Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.
+Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.
+Het algoritme dient niet het onderliggende probleem. +Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.
+| Vereiste |
|---|
| awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. |
Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-02ProbleemanalyseProjectleiderGovernanceTransparantie
+Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. +Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.
+Het doel van de inzet van een algoritme dient zo concreet en specifiek mogelijk gedefinieerd te worden. +Indien er meerdere doelen zijn, is het belangrijk om een zekere rangorde te maken: wat zijn de belangrijkste doelen? En waarom? +Welke doelen zijn subdoelen, waarvoor het minder belangrijk is om deze te realiseren?
+Indien mogelijk, dienen de doelstellingen gekwantificeerd te worden (SMART).
+Om te zorgen voor voldoende draagvlak voor de beoogde doelen, is het noodzaak om voldoende belanghebbenden te betrekken. +Hierbij kan het ook helpen om burgers te betrekken bij de totstandkoming van de doelstellingen, bijvoorbeeld door middel van een burgerpanel of het betrekken van belangengroepen.
+Het algoritme dient niet het beoogde doel en onderliggend probleem. +Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. +Er is dan een groter risico op fouten en/of verschillen in interpretatie.
+Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. +Doelstellingen zijn in dat geval moeilijk bespreekbaar.
+| Vereiste |
|---|
| awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. |
Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-03ProbleemanalyseProjectleiderGovernanceMenselijke controle
+Bepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.
+Bepaal waarom het gewenst of nodig is om een algoritme in te zetten, en of er ook alternatieven zijn om het probleem op te lossen. +Documenteer de onderbouwing waarom een algoritme een betere oplossing zou bieden dan een niet-geautomatiseerd of niet-digitaal proces.
+Maak een bewuste afweging of een algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen, en documenteer deze afweging.
+Beoordeel of de gewenste oplossing is toegestaan op grond van de AI-Verordening.
+Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-04ProbleemanalyseOntwerpImplementatieProjectleiderGovernanceFundamentele rechten
+Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.
+Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus. +Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.
+In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. +Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografieën worden geraakt door een algoritme? +Bij wie liggen de voordelen en bij wie liggen de nadelen? +Ga in gesprek met deze belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Zij kunnen waardevolle inzichten en wensen delen, wat kan bijdragen aan een betere werking van het algoritme.
+Enkele voorbeelden hierbij zijn: +- Het betrekken van burgers bij het ontwerpen van een algoritme in de ontwerpfase. +- Het bespreken welke definitie en metriek van fairness past bij de context met de proceseigenaar en een ethicus. +- Het betrekken van domeinexperts in de fase van dataverkenning en datapreparatie, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. +- Het betrekken van eindgebruikers bij het ontwikkelen en het implementeren van het algoritme. +- Het betrekken van belanghebbenden bij het monitoren en evalueren van het algoritme.
+Het niet betrekken van belanghebbenden bij de ontwikkeling en het gebruik van algoritmes, kan ertoe leiden dat belangrijke inzichten of perspectieven niet worden verwerkt en het algoritme onjuist gaat functioneren.
+Er zijn veel verschillende methoden om belanghebbenden te betrekken. Zo kan je bijvoorbeeld werken met persona’s of ‘empathy maps’ maken. Ook kan je focusgroepen houden. Denk dan bijvoorbeeld aan een burgerpanel.
+Andere methoden zijn: Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder.
+ + +Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-05ProbleemanalyseJuristGovernanceTransparantie
+Beschrijf de wettelijke grondslag voor de inzet van het algoritme en de beoogde besluiten die genomen zullen worden op basis van het algoritme.
+Het algoritme en beoogde besluiten voldoen niet aan wet- en regelgeving en intern beleid en kaders.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-01OntwerpImplementatieMonitoring en beheerProjectleiderGovernance
+Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes. De rollen en verantwoordelijkheden worden vastgesteld door de verantwoordelijke(n).
+Een reëel risico is dat bepaalde groepen en belanghebbenden over het hoofd worden gezien tijdens het ontwikkelproces van een algoritme. +Daarom is het noodzakelijk om al vroeg in kaart te brengen welke groepen allemaal een mening over het beoogde algoritme kunnen hebben.
+Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme. +Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang.
+Om deze reden kan het handig zijn om een matrix van belanghebbenden op te stellen.
+Deze matrix kan in verdere fases helpen wanneer belanghebbenden betrokken moeten worden. In deze matrix kunnen de volgende onderdelen staan:
Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Geïnfomeerd) te bepalen. +Werk specifieke, gevoelige activiteiten nader uit te in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid.
+De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten. Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes.
+owp-11OntwerpProjectleiderBeleid en adviesPublieke inkoopData
+Voer voorafgaand aan een project een data beschikbaarheids- en datakwaliteitsanalayse uit.
+Het zou kunnen voorkomen dat de data niet beschikbaar is en ook niet gaat worden. Dit betekent dat een algoritme ook niet goed gemaakt of gebruikt kan worden. Ook is het belangrijk om te checken of de data beschikbaar blijft als dat nodig is voor het functioneren van het algoritme (bijv. voor het bijleren). Ook bestaat er een risico dat als de data van onvoldoende kwaliteit is, het algoritme niet goed gaat werken. Wanneer niet vooraf bepaald is of de data beschikbaar is en van voldoende kwaliteit kan het gebeuren dat er wel een algoritme gemaakt wordt door een derde partij, maar deze vervolgens niet gebruikt kan worden binnen de organisatie.
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-03OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProjectleiderJuristPrivacy en gegevensbescherming
+Het doel voor het verwerken van persoonsgegevens met een algoritme is welbepaald en omschreven.
+Persoonsgegevens mogen alleen worden verwerkt voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel. De wettelijke grondslag voor de verwerking van de persoonsgegevens moet zijn beschreven.
+De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van een algoritme moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding). Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.
+Stel een overzicht op waarin is beschreven welke persoonsgegevens mogen worden verwerkt. +Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat. +Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme. +Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.
+Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd. Denk hierbij aan het anonimiseren, pseudonomiseren, aggregeren van de persoonsgegevens.
+Gebruik een DPIA om bovenstaande zaken te beschrijven.
+Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-04OntwerpOntwikkelaarTechnische robuustheid en veiligheid
+Beschrijf welke techniek gebruikt wordt voor de beoogde toepassing.
+Bepaal of je gebruik wilt maken van een:
+Beschrijf vervolgens ook:
+De precieze details kunnen in dit stadium van de levenscyclus waarschijnlijk nog niet ingevuld worden. Maak een goede eerste inschatting van de gebruikte techniek. Eventueel kan je er ook voor kiezen om verschillende technieken verder te onderzoeken. Dat betekent dat er meerdere algoritmes ontwikkeld worden (op basis van verschillende technieken), en je later een definitieve keuze maakt.
+Het is belangrijk om uiteindelijk een passend uitlegbaar algoritme te selecteren voor de context waarin het wordt toegepast. Daarin moet de afweging gemaakt worden of de technische uitlegbaarheid voldoende is in de context die de inzet van het algoritme vereist. Hierbij kan ook de conclusie worden getrokken dat een simpeler, inzichtelijker algoritme de voorkeur krijgt.
+owp-05OntwerpOntwikkelenProjectleiderBeleid en adviesPublieke inkoopGovernance
+Stel vast om wat voor type algoritme het gaat en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
+Het verschilt per type algoritme welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. +Dit is mede afhankelijk van de bijbehorende risicoclassificatie. +Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. +Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecreëerd tussen opdrachtgever en opdrachtnemer/aanbieder.
+Algoritmekader
+owp-06ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderBeleid en adviesFundamentele rechten
+Identificeer welke grondrechten geraakt worden door het in te zetten algoritme en maak een afweging of dit aanvaardbaar is
+Een algoritme kan invloed hebben op grondrechten. Op een aantal grondrechten kan een algoritme sneller invloed hebben, zoals recht op persoonsgegevensbescherming, recht op behoorlijk bestuur en recht op gelijke behandeling. +Deze veelvoorkomende grondrechten krijgen op andere plekken in het Algoritmekader specifieke aandacht. +Er zijn echter ook grondrechten die bij minder algoritmen relevant zijn, maar desalniettemin in die gevallen zeer invloedrijk kunnen zijn. +Het is van belang uiteindelijk een totale afweging te maken van alle grondrechten die (mogelijk) geraakt worden ten opzichte van de voordelen van het in te zetten algoritme. +Een voorbeeld van een grondrecht dat minder snel geraakt wordt is bijvoorbeeld een algoritme om hate speech te kunnen detecteren. Zo'n algoritme zal van invloed kunnen zijn op de vrijheid van meningsuiting en het recht op informatie.
+Doorloop in lijn met Deel 4 van het Impact Assessment Mensenrechten en Algoritmes de volgende stappen:
+Het is van belang voldoende belanghebbenden te betrekken bij het doorlopen van deze stappen om te zorgen dat alle eventueel nadelige aspecten van het in te zetten algoritme worden meegenomen. +Documenteer de doorlopen stappen en leg de keuzes en afwegingen goed vast.
+Opmerking
+Zoals vermeld in de vereiste voor beoordeling van gevolgen voor grondrechten uit de AI-verordening moeten sommige hoog-risico AI-systemen een beoordeling doen van de gevolgen voor grondrechten. Het is nog niet bekend welke vorm dit precies moet hebben.
+Het risico is dat er grondrechten, anders dan die expliciet beschermd zijn in andere maatregelen en vereisten, aangetast worden.
+Hoofdstuk 4 van het Impact Assesment Mensenrechten en Algoritmen (IAMA) richt zich specifiek op de grondrechten. In bijlage 1 is tevens een overzicht te vinden van mogelijk relevante grondrechten.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-07OntwerpBeleid en adviesFundamentele rechten
+Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). +Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.
+De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-08OntwerpOntwikkelenOntwikkelaarProjectleiderJuristTransparantie
+Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme gelden als "archiefbescheiden" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde. Bepaal de bijbehorende bewaartermijnen vast voor de archiefbescheiden.
+Tip
+Formeer hierbij een multi-discipinaire groep (bestaande uit bijvoorbeeld een inkoper, ontwikkelaar, data scientist, proceseigenaar en archiefdeskundige) om deze maatregel toe te passen.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-09OntwerpMonitoring en beheerProjectleiderBeleid en adviesPublieke inkoopPrivacy en gegevensbescherming
+Inventariseer of er mogelijk sprake is van een algoritme dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.
+Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.
+Algoritmekader
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-09OntwerpProjectleiderBeleid en adviesPublieke inkoop
+Stel een multidisciplinair team samen bij het ontwikkelen of inkopen van algoritmes.
+Zonder een multidisciplinair team is het waarschijnlijk dat belangrijke aspecten voor een verantwoorde inzet van algoritmes niet worden geadresseerd en ongewenste algoritmes worden ontwikkeld of ingekocht.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-10OntwerpOntwikkelenVerificatie en validatieImplementatieProjectleiderBeleid en adviesTechnische robuustheid en veiligheid
+Voer een Project Startarchitectuur (PSA) uit als algoritmes worden ontwikkeld of ingekocht.
+Het algoritme kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.
+owp-11OntwerpProjectleiderBeleid en adviesPublieke inkoopDuurzaamheid
+Kies softwareoplossingen van aanbieders die duurzaamheid bevorderen, en stel heldere eisen aan energieverbruik, hernieuwbare energiebronnen en transparantie over de milieuprestaties van software.
+Door software duurzaam in te kopen, kun je als organisatie al vroeg in het ontwikkelproces bijdragen aan de verduurzaming van je algoritmes. Kies daarom softwareoplossingen van aanbieders die maatschappelijk verantwoord ondernemen (MVI) en energie-efficiëntie vooropstellen.
+Om software duurzaam in te kopen, kun je aanbieders beoordelen op specifieke duurzaamheidscriteria. Enkele belangrijke criteria zijn:
+Vraag om inzicht in milieuprestaties en certificeringen, zoals ISO-14001, om de toewijding van aanbieders aan duurzaamheid te toetsen. +De ISO-14001 is een internationaal geaccepteerde standaard met eisen voor een milieumanagementsysteem.
+Stel bij het inkopen duidelijke eisen aan duurzaamheidscriteria, zoals het gebruik van "groene technologieën", het aanbieden van Software-as-a-Service (SaaS) en open standaarden. Zo maak je duurzame keuzes die bijdragen aan een langere levensduur en energie-efficiëntie van je algoritmes. Door KPI’s op te nemen voor energie-efficiëntie en CO₂-reductiedoelen kun je de voortgang van deze doelen concreet monitoren. Je kunt deze voorwaarden opnemen als standaard inkoopvoorwaarden.
+Om naleving van duurzame doelstellingen te stimuleren, kun je een bonus-malusregeling inzetten. Aanbieders ontvangen een bonus wanneer zij duurzame doelstellingen halen, en kunnen worden aangesproken als beloofde duurzaamheidsnormen niet worden behaald. Monitoring via jaarlijkse rapportages helpt om de voortgang van de duurzaamheidsdoelen te evalueren en, indien nodig, bij te sturen.
+Extra overwegingen die je kunt maken bij het aankopen van algoritmes, zoals genoemd in de handreiking 'Hoe maak ik mijn inkoop van software duurzamer?' van PIANOo:
+Zonder duurzaamheidscriteria bij het inkopen van software loop je het risico op hogere energie- en kostenlasten, en beperk je de mogelijkheden om duurzaamheidsdoelstellingen te halen bij je algoritmes.
+owp-02OntwerpDataverkenning en datapreparatieOntwikkelaarBeleid en adviesData
+Beschrijf welke data gebruikt wordt voor de beoogde toepassing.
+owp-12OntwerpOntwikkelenProjectleiderPublieke inkoop
+Bespreek de vereiste die gelden voor een verantwoorde inzet van algoritmes met een aanbieder.
+Ga met een aanbieder in gesprek over in hoeverre zij invulling kunnen geven aan de vereisten die gelden voor een verantwoorde inzet van algoritmes. Dit kan worden gedaan bijvoorbeeld bij een informatiesessie met aanbieders voorafgaand aan een aanbesteding.
+Op basis van nieuwe of gewijzigde wet- en regelgeving of de totstandkoming van nieuwe standaard, is het denkbaar dat aanbieders van algoritmes nog niet of niet meer voldoet aan deze vereisten. Het is van belang om deze inzichten bijvoorbeeld tijdens een aanbesteding worden verkregen. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.
+Door de vereisten voor een verantwoorde inzet van algoritmes niet te bespreken met aanbieders, is het voor hen (deels) onduidelijk aan welke vereisten diens algoritmes moet voldoen om te kunnen contractueren met overheidsorganisaties.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-12OntwerpOntwikkelenOntwikkelaarDuurzaamheid
+Ontwerp algoritmes gericht op eenvoud en efficiëntie, zodat het energieverbruik en de benodigde rekenkracht tijdens gebruik minimaal blijven.
+Complexe algoritmes vereisen vaak aanzienlijke rekenkracht, wat energie-intensief kan zijn. Door algoritmes minder complex en rekenintensief te ontwerpen, verlaag je de benodigde middelen en energie bij het trainen en uiteindelijk toepassen van deze algoritmes. Een efficiënter ontwerp maakt de algoritmes energiezuiniger in de trainings- en gebruiksfase en draagt zo bij aan duurzaamheid in de gehele levenscyclus.
+Wanneer je een nieuw algoritme ontwikkelt, kun je de omvang en rekenbelasting beperken door alleen noodzakelijke functionaliteit op te nemen. Focus op de kernfunctionaliteit, zodat je gebruik maakt van een kleiner model dat beter te begrijpen en gemakkelijker te beheren is. Het vermijden van overbodige functionaliteiten maakt het algoritme minder zwaar en verlaagt de milieu-impact aanzienlijk.
+Een populaire methode om complexiteit te verlagen is het divide-and-conquer principe, waarbij je een grote algoritmische berekening opsplitst in kleinere, overzichtelijke deelberekeningen en deze vervolgens oplost (je splitst hierbij het technische probleem in meerdere kleinere problemen). Dit vermindert de rekenlast aanzienlijk en verhoogt de efficiëntie. Ook kun je met dynamisch programmeren optimalisaties toevoegen door eerder berekende resultaten op te slaan en te hergebruiken, wat herhaling van berekeningen voorkomt en de rekenkracht vermindert.
+Ontwerpen zonder oog voor efficiëntie kan leiden tot energie-intensieve algoritmes die hoge kosten en milieubelasting met zich meebrengen.
+owp-13OntwerpProjectleiderBeleid en adviesPublieke inkoopTransparantie
+Maak vereisten voor algoritmes onderdeel van contractvoorwaarden en de contractovereeenkomst.
+Door de vereisten voor een verantwoorde inzet van algoritmes niet te communiceren met aanbieders, is het voor hen (deels) onduidelijk aan welke vereisten diens algoritmes moet voldoen om te kunnen contractueren met overheidsorganisaties.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-14OntwerpMonitoring en beheerProjectleiderBeleid en adviesPublieke inkoopPrivacy en gegevensbescherming
+Het opstellen van een verwerkersovereenkomst met aanbieder is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt of noodzakelijk zijn voor het trainen of genereren van output door algoritmes van aanbieder.
+Een verwerkersovereenkomst moet worden opgesteld als persoonsgegevens worden verwerkt voor het trainen of het genereren van output door algoritmes van aanbieder. Met een verwerkersovereenkomst worden een aantal afspraken schriftelijk vastgelegd het bij de verwerking van persoonsgegevens. Het gaat om de volgende zaken:
+Algemene beschrijving. Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.
+Instructies voor de verwerking. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken. +Geheimhoudingsplicht. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. +Beveiliging. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
+Subverwerkers. De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat de verwerker subverwerkers mag inschakelen en onder welke voorwaarden. Komt de subverwerker de verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (artikel 28, vierde lid, van de AVG).
+Privacyrechten. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, verwijdering en dataportabiliteit).
+Andere verplichtingen. De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
+Gegevens verwijderen. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt de verwerker de gegevens aan u terug, als u dat wilt. Ook verwijdert de verwerker kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
+Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG).
+Er is sprake van een onrechtmatige verwerking van persoonsgegevens als geen verwerkersovereenkomst is opgesteld tussen de verwerker en de verwerkingsverantwoordelijke.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-15OntwerpProjectleiderBeleid en adviesPublieke inkoop
+Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving
+Het leveren van bewijs door aanbieder dat de ontwikkelde algoritmes voldoen aan de vereisten, draagt bij aan het kunnen beoordelen of een aanbieder geschikt is om mee te contracteren. Bij het leveren van bewijs kan worden gedacht aan het overhandigen van bijvoorbeeld een certificaat of een EU-conformiteitsverklaring voor hoog risico AI-systemen.
+Daarbij is het relevant om te beoordelen in hoeverre er is voldaan aan geharmoniseerde standaarden. Deze standaarden zijn momenteel in ontwikkeling. In de (nabije) toekomst zal dit naar verwachting op een vergelijkbare manier kunnen worden benaderd als bij het moeten leveren van een NEN-ISO 27001 certificaat (voldoen aan informatiebeveiligingsvereisten) door een leverancier.
+
+Er wordt gecontracteerd met een aanbieder die niet voldoet aan de vereisten voor een verantwoorde inzet van algoritmes.
+owp-16Dataverkenning en datapreparatieVerificatie en validatieProjectleiderBeleid en adviesPublieke inkoopData
+Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden met de trainingsdata en output van diens algoritme van bijvoorbeeld een aanbesteding.
+Algoritmes worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.
+Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijk beschermde werken ter training van algoritmes (waarschijnlijk) als kopiëren geldt: een handeling die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmes het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.
+Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen welke maatregelen er zijn getroffen om dit te voorkomen en ga hier eventueel over in gesprek. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
+Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen welke maatregelen er zijn getroffen om dit te voorkomen. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
+Het is van belang dat de (rest)risico's inzichtelijk zijn gemaakt als er sprake is van een (potentiële) schending van auteursrechten. Laat een aanbieder deze risico's inzichtelijk maken, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is. Beoordeel of deze rest(risico's) acceptabel zijn.
+Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de trainingsdata of output van het algoritme en dat aanbieder dit gedurende de ontwikkeling en levensduur actief bewaakt.
+Dat wordt gecontracteerd met een aanbieder waarbij niet kan worden uitgesloten dat auteursrechten worden geschonden.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-17OntwerpImplementatieJuristBeleid en adviesPublieke inkoop
+Maak de aansprakelijkheidsvoorwaarden die een aanbieder stelt ten aanzien van auteursrechten een vast onderdeel om te beoordelen in de aanbesteding.
+Eindgebruikers van algoritmes kunnen er niet altijd op vertrouwen, of (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme laten genereren, inbreuk maakt op rechten van anderen. Het is onwenselijk dat een eindgebruiker aansprakelijk wordt gesteld voor het maken van een inbreuk op rechten van derden, als deze gebruik maakt van algoritmes die worden aangeboden door aanbieders. Organisatie moeten daarom afspraken hierover maken met aanbieders.
+Hoe groot de kans is dat eindgebruikers vanwege het gebruik van algoritmes aansprakelijk worden gesteld, is nog onduidelijk. Er zijn wel voorbeelden waarbij eindgebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.
+Op dit moment zijn (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk zijn gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmes in hun algemene voorwaarden het risico voor aansprakelijkheid volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.
+Het is daarom van belang om een beoordeling te maken in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend zijn. Maak een jurist onderdeel van de beoordeling.
+Er wordt gecontracteerd met een aanbieder die ongewenste aansprakelijkheidsvoorwaarden hanteert.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-18OntwerpOntwikkelaarPublieke inkoop
+Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-19OntwerpOntwikkelenProjectleiderPublieke inkoop
+Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te gaan realiseren.
+Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat opdrachtgever en aanbieder (innovatief) moeten gaan samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) of geharmoniseerde standaarden kunnen aanbieders mogelijk nog niet voldoen aan nieuwe vereisten. Het kan ook onduidelijk zijn hoe moet worden voldaan aan vereisten nu de technologie zich snel ontwikkelt of dat de specifieke omstandigheden van het beoogde gebruik vragen om een samenspel tussen opdrachtgever en aanbieder.
+Bij een verantwoorde inzet van algoritmes kan het bij vereisten zoals non-discriminatie, transparantie, menselijke controle en grondrechten van belang zijn om samen te onderzoeken hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen om welke onderwerpen dit mogelijk van toepassing is. Bij een marktverkenning of informatiesessie kan worden verkend hoe aanbieders ervoor staan. Op basis hiervan kan worden beoordeeld in hoeverre bijvoorbeeld in een aanbesteding contractuele ruimte moet worden gecreëerd voor opdrachtgever en aanbieder om hieraan te werken.
+Door niet te kunnen samenwerken aan vereisten, kan de situatie ontstaan dat uiteindelijk niet op een betekenisvolle manier wordt voldaan aan deze vereisten voor een verantwoorde inzet van algoritmes. +Gebrek aan samenwerking kan leiden tot onvermogen om de benodigde vereisten voldoende in de praktijk te garanderen. Ook is het belangrijk dat de verantwoordelijke goed genoeg begrijpt hoe het algoritme werkt en welke keuzes er gemaakt zijn tijdens het ontwerp, omdat alleen dan goed beoordeeld kan worden welke vereisten zijn voldaan en welke risico’s nog niet of minder goed zijn afgedekt.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-20OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoopTransparantie
+Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke, zodat het alle relevante onderdelen van het algoritme zijn beschreven.
+Het is van belang dat duidelijke afspraken worden gemaakt over het opstellen, aanvullen en actueel houden van technische documentatie van algorites. Bij het inkopen van algoritmes moet hier rekening mee worden gehouden. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.
+Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het AI-systeem door welke partij (aanbieder of gebruiksverantwoordelijke) moeten worden ingevuld of aangevuld.
+Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies. Bespreek met het projectteam welke onderdelen van de technische documentatie voor AI-systemen, als genoemd in de Bijlage 4 AI-verordening, door welke partij (aanbieder of gebruiksverantwoordelijke) moeten worden ingevuld of aangevuld.
+Door de technische documentatie niet volledig op te stellen, is niet geheel transparant hoe het algoritme functioneert en kan daar geen verantwoording voor worden afgelegd.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-21OntwerpProjectleiderBeleid en adviesPublieke inkoop
+Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
+Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden
+Er kunnen geen controles of inspecties worden uitgevoerd om te beoordelen of de algoritmes van aanbieder nog voldoen aan de vereisten voor een verantwoorde inzet van algoritmes.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-22OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoopTransparantie
+Ga na of algoritmes van een aanbieder een bepalende invloed hebben in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is.
+Als overheidsorganisaties algoritmes willen gebruiken van aanbieders, dan zal bijvoorbeeld tijdens een aanbestedingsproces moeten worden beoordeeld in hoeverre deze algoritmes invloed hebben op besluitvormingprocessen van deze organisaties. Algoritmes kunnen namelijk gebruikers ondersteunen bij de totstandkoming van besluiten, maar ook de besluitvorming van gebruikers overnemen. De mate van menselijke tussenkomst speelt daarbij een belangrijk rol.
+Een opdrachtgever moet zelf bepalen welke algoritmes, gezien de specifieke context, wenselijk en toegestaan zijn. Vervolgens moet worden beoordeeld of de algoritmes die worden aangeboden door aanbieder daarbij aansluiten.
+Tijdens het aanbestedingsproces moeten daarom inzichten worden verkregen hoe de algoritmes van aanbieders functioneren om tot een beoordeling te kunnen komen. Laat de aanbieder dit toelichten.
+Algoritmes van aanbieders nemen besluitvormende taken over, zonder dat daar zicht op is of dat dit is beoordeeld.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-23OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
+Laat de aanbieder aangeven welke mate van kennisoverdracht (opleiding en training) en ondersteuning bij de organisatorische implementatie nodig is om de beoogde algoritmes verantwoord te kunnen gebruiken.
+Beoordeel of de kennisoverdracht en ondersteuning van aanbieder voldoende is om voor een langere periode zelfstandig op een verantwoorde wijze gebruikt te kunnen maken van de algoritmes.
+Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren trainingen passend is voor het beoogde gebruik, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.
+Zonder kennisoverdracht aan de organisaties en gebruikers, ontstaat het risico's dat algoritmes onjuist worden toegepast of dat de output onjuist wordt geïnterpreteerd en zo fouten ontstaan bij het uitvoeren van overheidstaken.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-24OntwerpProjectleiderBeleid en adviesTechnische robuustheid en veiligheidPublieke inkoop
+Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
+Er is onvoldoende zicht op risico's op het gebied van informatiebeveiliging als gebruikt wordt gemaakt van algoritmes van aanbieders.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-25OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
+Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
+Er is niet gespecificeerd en daarmee achteraf niet afdwingbaar dat algoritmes aan bepaalde vereisten moeten voldoen die van de belangen voor de betreffende overheidsorganisatie.
+Hoe specificeer ik mijn vraag?
+owp-26OntwerpProjectleiderBeleid en adviesOntwikkelaarPublieke inkoop
+Maak de vereiste onderdeel van Service Level Agreement
+Zonder concrete afspraken te maken in de SLA, ontstaat het risico dat aloritmes (tijdelijk) of te langdurig niet kunnen worden gebruikt, onjuist fuctioneren of dat er geen verantwoording over de output kan worden afgelegd.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-27OntwerpImplementatieJuristPublieke inkoop
+Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmes.
+Hier kan worden gedacht aan (initiële) trainingsdatasets, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).
+| Bron | +
|---|
| Algoritmekader | +
Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-28OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
+De in te zetten algoritmes voldoen niet aan vastgestelde beleidskaders.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +pba-04OntwerpOntwikkelenProjectleiderBeleid en adviesTransparantie
+Stel vast welke betrokkenen geïnformeerd moeten worden over de ontwikkeling en het gebruik van algoritmes en welke informatie zij hierover nodig hebben.
+Welke informatie over algoritmes relevant is, verschilt per partij. Het is van belang om deze partijen in beeld te brengen en vast te stellen welke informatie voor hen relevant is. Raadpleeg hierbij vastgestelde beleidskaders, waarin is beschreven welke informatie in welke gevallen moet worden gecommuniceerd.
+Stel bijvoorbeeld de volgende vragen:
+| Vragen | +Acties die je kan ondernemen | +
|---|---|
| Wie heeft informatie nodig over het ontwikkelen en gebruiken van algoritmes? | +Stel vast welke betrokken(en) binnen of buiten de organisatie iets over het algoritme wil of zou moeten weten. | +
| Wat voor informatie voor algoritmes heeft deze betrokken partij nodig? | +Toets dit ook bij vastgesteld beleid. Ga na wat de doelgroep moet weten over de werking of inzet van het algoritme. Bepaal om welk technisch niveau dit gaat. | +
| Op wat voor manier informeer je de betrokken partij? | +Pas de juiste methodes toe om de doelgroep te informeren. | +
| Wanneer wordt deze informatie gebruikt? | +Ga na in welke fase van de levenscyclus de gewenste informatie over de werking of inzet van het algoritme wordt gebruikt. Hoe verschilt de informatiebehoefte in elke fase van de levenscyclus? | +
| Wie is er verantwoordelijk voor de informatieverstrekking? | +Bepaal wie er informatie over het algoritme moet ophalen, en wie er voor die informatie kan zorgen. | +
Maak bij het vaststellen van de informatiebehoefte onderscheid tussen transparantie, uitlegbaarheid en interpreteerbaarheid. Houd daarbij ook rekening met zaken die moeten worden gecommuniceerd. Denk hierbij aan het kunnen uitleggen hoe een automatisch genomen besluit tot stand is gekomen.
+Stel een communicatieplan op over de ontwikkeling en gebruik van het algoritme. Bepaal vervolgens aan de hand van de levenscyclus wanneer, welke informatie wanneer beschikbaar moet worden gesteld. Stel vast wie verantwoordelijk is voor het opstellen of het leveren van een bijdrage aan deze informatie. In het communicatieplan kunnen verder zaken worden opgenomen als:
+Overleg regelmatig met betrokkenen en belanghebbenden in hoeverre de informatieverstrekking aansluit bij de (nieuwe) behoeften.
+| Vereiste |
|---|
| awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. |
| aia-08-transparantie-aan-gebruikersverantwoordelijken |
| aia-28-transparantieverplichtingen-richting-natuurlijke-personen |
Algoritmekader
+Het risico is dat partijen niet of onvolledig worden geïnformeerd over de ontwikkeling en gebruik van algoritmes, en hierdoor hun rechten niet kunnen effectueren of belangen kenbaar kunnen maken.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owp-07OntwerpProjectleiderBeleid en adviesOntwikkelaarTransparantie
+Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze.
+Uitlegbaarheidstechnieken helpen om de werking van een algoritme transparant te maken. +De keuze voor het type algoritme bepaalt hoe transparant je kunt zijn. Van rekenregels kun je namelijk precies uitleggen hoe deze tot een beslissing komen. Maar complexe AI-systemen kunnen een black box zijn. Het is dan onduidelijk hoe deze systemen beslissingen maken.
+Afhankelijk van het type algoritme zijn er uitlegbaarheidstechnieken beschikbaar om de werking en keuzes van een algoritme bloot te leggen. Er moet eerst een keuze worden gemaakt welk type algoritme geschikt is gezien de informatiebehoefte. Het is belangrijk om samen met de betrokken partijen vast te leggen welke uitlegbaarheidstechnieken moeten worden toegepast. Bij bronnen kan informatie worden geraadpleegd die helpen bij het vinden van de juiste methodiek.
+Onderzoek hoe uitlegbaarheidstechnieken kunnen bijdragen aan het motiveren van besluiten. Dit kan bijvoorbeeld door:
+- De output van het algoritme te koppelen aan het zaakdossier, met een toelichting op de interpretatie van die output.
+- De output of een samenvatting hiervan op te nemen in de beschikking.
+Vanuit veiligheidsoverwegingen kan bij specifieke algoritmes besloten worden om bepaalde informatie over de werking van een algoritme niet aan iedereen vrij te geven. Denk hierbij aan de beperkingen die de Wet Open Overheid oplegt. Houd ook rekening met mogelijke risico’s op aanvallen die kunnen ontstaan door het gebruik van uitlegbaarheidstechnieken, zoals omschreven in: A Survey of Privacy-Preserving Model Explanations: Privacy Risks, Attacks, and Countermeasures.
+Evalueer de uitlegbaarheid van het systeem op functionele, operationele, bruikbaarheids- en veiligheidsvereisten in samenwerking met betrokkenen zoals gebruikers. Valideer of de uitkomst van het algoritme begrijpelijk genoeg is voor gebruiker om hier op een verantwoorde wijze mee te werken.
+Als er geen rekening wordt gehouden met de uitlegbaarheid van een algoritme binnen een bepaalde context, ontstaat het risico dat de output van het algoritme niet wordt begrepen of verkeerd wordt geïnterpreteerd, wat kan leiden tot onjuist gebruik.
+imp-10OntwerpValidatie en verificatieProjectleiderBeleid en adviesTransparantiePublieke inkoop
+Maak gebruik van een algoritme dat bronvermelding kan genereren bij de output.
+Bij het gebruik van generatieve AI/LLM’s is bronvermelding van belang. +Hiermee kan tot op zekere hoogte een beoordeling worden gegeven in hoeverre bij het trainen van het AI-model rechtmatig gebruik is gemaakt van bronnen. +Bronvermelding is daarnaast essentieel om de output van het AI-model inhoudelijk te kunnen controleren, wat ook informatie geeft in hoeverre het AI-model bijvoorbeeld al dan niet hallucineert of manipuleert.
+Voor het ontwikkelen van een AI-model is bronvermelding noodzakelijk, omdat het voor ontwikkelaars de enige manier is om te kunnen controleren of het model goed werkt. Dit geldt ook voor ontwikkelaars die pre-trained modellen gebruiken.
+Neem het kunnen generenen van een bronvermelding mee als een 'requirement' voor het te ontwikkelen AI-model in de ontwerpfase of maakt het onderdeel van de behoeftestelling en specificeer deze behoefte in het inkoopproces.
+org-02OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernanceTransparantie
+Pas vastgestelde beleidskaders toe.
+De in te zetten algoritmes voldoen niet aan vastgestelde beleidskaders.
+Onderzoekskader Algoritmes Auditdienst Rijk, SV.8
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-01Dataverkenning en datapreparatieOntwikkelaarData
+Stel vast of de gebruikte data van voldoende kwaliteit is voor de beoogde toepassing.
+Stel functionele eisen voor de datakwaliteit vast en analyseer structureel of er aan deze eisen wordt voldaan.
+De kwaliteit van de data die als input voor het algoritme wordt gebruikt is bepalend voor de uitkomsten van het algoritme. Hier wordt soms ook naar gerefereerd als garbage in = garbage out.
+Het Raamwerk gegevenskwaliteit bevat een breed toepasbare set van kwaliteitsdimensies:
+Deze dimensies zijn aangevuld met kwaliteitsattributen welke gebruikt kunnen worden om de verschillende dimensies meetbaar te maken.
+De vraag of de data kwaliteit voldoende is, hangt sterk samen met de vraag of er bias in de onderliggende data zit. Analyseer daarom ook welke bias en aannames er besloten zijn in de onderliggende data. Denk hierbij onder andere aan de volgende vormen van bias:
+ +Zorg dat je data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) is.
+Let op!
+Wanneer je een algoritme inkoopt en de ontwikkeling van het algoritme uitbesteedt aan een derde partij, houdt er dan dan rekening mee dat data traceerbaar en reproduceerbaar moet zijn. Maak hier heldere afspraken over met de aanbieder.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-02Dataverkenning en datapreparatieOntwikkelaarData
+Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) binnen en buiten de eigen organisatie.
+De internationale FAIR-principes zijn richtlijnen voor de manier van beschrijven, opslag en publicatie van data.
+Wanneer je voldoet aan de 15 principes is je data 'machine actionable'. Dit maakt het mogelijk dat de data effectief gebruikt kan worden voor verschillende algoritmes.
+FAIR data betekent niet per definitie dat data open data is. Juist ook voor (privacy) gevoelige data (gesloten data) kan het heel zinvol zijn om te voldoen aan de principes voor FAIR data, om juist daarmee specifieke geautoriseerde toegang tot gevoelige data mogelijk te kunnen maken.
+Er zijn 15 principes voor FAIR data geformuleerd:
+F1: Aan (meta)data wordt een wereldwijd unieke en permanente identifier toegevoegd
+Voorbeeld
+Met behulp van Persistent Identifiers (PID) zorg je ervoor dat jouw data (bijvoorbeeld onderzoeksdata) altijd vindbaar blijft. +PID's kun je vergelijken met het ISBN-nummer bij boeken. Het idee is dat ook als de locatie of de onderliggende infrastructuur verandert, de verwijzing intact blijft.
+F2: Data wordt beschreven met rijke metadata
+Voorbeeld
+Het team van data.overheid.nl heeft de metadata standaard DCAT-AP-DONL ontwikkeld die speciaal voor de uitwisseling van dataset informatie voor de Nederlandse situatie is ingericht. Dit is gebaseerd op de Data Catalog Vocabulary (DCAT) versie die de Europese Unie heeft opgesteld. Je kan hierover meer lezen op de site van data.overheid.nl.
+F3: Metadata bevat duidelijk en expliciet de identificatie van de data die ze beschrijven
+I2: (Meta)data gebruikt gegevenswoordenboeken of vocabulaires die FAIR-principes volgen
+Voorbeeld woordenboek
+In het woordenboek Hitte staan ongeveer 230 definities van termen rond het thema hitte die gebruikt worden in het klimaatadaptatieveld. Dit woordenboek is ontwikkeld in opdracht van het ministerie van Infrastructuur en Waterstaat door overheidsstichting Geonovum.
+I3: (Meta)data bevat gekwalificeerde verwijzingen naar andere (meta)data
+R1.2: (Meta)data wordt geassocieerd met gedetailleerde herkomst
+Voorbeeld
+PROV-DM is een conceptueel datamodel dat gebruikt kan worden voor de herkomstinformatie (provenance) van data.
+Opmerking
+Artikel 5b van de Wet hergebruik van overheidsinformatie stelt dat dnderzoeksgegevens in overeenstemming met de FAIR-beginselen actief beschikbaar moeten worden gesteld voor hergebruik door een publiek gefinancierde onderzoeksorganisatie. Dit geldt voor zover:
+dat-04OntwikkelenMonitoring en beheerJuristProjectleiderTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
+Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-05Dataverkenning en datapreparatieOntwikkelenOntwikkelaarJuristPrivacy en gegevensbescherming
+Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-06OntwerpDataverkenning en datapreparatieJuristData
+Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. +Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.
+Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. +Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme.
+Algoritmekader
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-07OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerOntwikkelaarProjectleiderBeleid en adviesDuurzaamheid
+Maak gebruik van datacenters die gebruikmaken van duurzame energiebronnen en energie-efficiënte technologieën voor de opslag en verwerking van data.
+Door data op te slaan en algoritmes te laten draaien in datacenters die hernieuwbare energiebronnen inzetten en bijvoorbeeld de ontstane restwarmte recyclen, kun je de ecologische voetafdruk van de algoritmes aanzienlijk verkleinen. +Datacenters die zich op duurzaamheid richten, verlagen de CO₂-uitstoot van hun infrastructuur en bieden mogelijk duurzaamheidsrapportages. Let bij het kiezen van een aanbieder op mogelijke greenwashing; dit gebeurt wanneer bedrijven beweren groen te zijn zonder dit met concrete maatregelen te onderbouwen.
+Om datacenters energie-efficiënt te maken, zijn er verschillende benaderingen:
+Door geen gebruik te maken van duurzame datacenters, loop je het risico op een hogere CO₂-uitstoot, en wordt daardoor niet aangesloten bij Rijksbreed beleid. Ook loop je risico op hogere energiekosten.
+dat-07Dataverkenning en datapreparatieOntwikkelenOntwikkelaarDataTechnische robuustheid en veiligheidBias en non discriminatie
+Indien je gebruik maakt van machine learning technieken, maak een passende keuze voor gescheiden train-, test- en validatiedata en houd hierbij rekening met underfitting en overfitting.
+Verdeel je dataset in drie delen:
+de trainingsset
+Deze dataset wordt gebruikt om het model te trainen. Uit deze dataset worden de onderliggende patronen of relaties geleerd die later gebruikt kunnen worden om voorspellingen mee te doen.
+De kwaliteit van deze dataset moet goed zijn en zo representatief mogelijk voor de doelpopulatie. Eventuele bias of vooroordelen in deze dataset kan door het trainen in het model sluipen.
+Let bij het samenstellen van de traningsset op dat de data waarop het model gebaseerd is, niet beschikbaar zijn voordat de uitkomsten zijn geobserveerd. Met andere woorden, zorg ervoor de de voorspellingen geen onderdeel kunnen zijn van de inputvariabelen.
+de validatieset
+De validatieset fungeert als een onafhankelijke, onbevooroordeelde dataset voor het vergelijken van de prestaties van verschillende algoritmes die zijn getraind op onze trainingsset.
+Verschillende modellen kunnen getraind worden op de trainingsdataset. Zo kan je bijvoorbeeld variëren in de (hyper)parameters of de inputvariabelen. Dit leidt tot verschillende varianten van het model. Om de prestaties van de verschillende modellen te vergelijken, moeten we een nieuwe dataset gebruiken: de validatieset. Zou je hiervoor de trainingsdataset gebruiken, kan dat leiden tot overfitting, wanneer het model dan te specifiek afgestemd is op 1 dataset. Het model kan dan niet voldoende generaliseren voor nieuwe situaties.
+de testset
+Nadat er met behulp van de validatieset een keuze is gemaakt voor een passend model en bijbehorende (hyper)parameters, moet je het model nog testen op nieuwe data. Dit geeft een beeld van de werkelijke prestaties van het model in nieuwe omstandigheden.
+Let op dat je pas naar deze resultaten kijkt als laatste stap. Inzichten uit deze testdataset mogen niet worden meegenomen in de ontwikkeling, omdat dit kan leiden tot overfitting. Het model zal dan in productie mogelijk minder goed presteren.
+Er is geen optimale verdeling van de drie datsets. Veelvoorkomende verhoudingen om je data in te splitten zijn:
+Afhankelijk van de hoeveelheid beschikbare data en de context maak je hierin een keuze. Houdt hierbij rekening met:
+Naast dat je de datasets willekeurig kan verdelen in drie delen (aselect), kan je ook meer geavanceerde technieken gebruiken. Een robuuste en veelgebruikte techniek is k-fold cross validation, waarbij het model k keer wordt getraind op verschillende delen van de data.
+Door onjuiste training van het model presteert het model in de praktijk minder goed dan bij de tests. Als trainings-, validatie- en testdata door elkaar lopen ("data leakage"), kan dit leiden tot overfitting, waardoor het model beter lijkt te presteren dan in werkelijkheid het geval is.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-08Dataverkenning en datapreparatieProjectleiderDataPublieke inkoop
+De organisatie heeft volledige controle of eigenaarschap over de data. Wanneer dit niet mogelijk is, zijn afspraken gemaakt om de functionele eisen te waarborgen.
+Wanneer een algoritme ontwikkeld of ingekocht wordt, is het belangrijk om toegang tot de gebruikte data goed te regelen. +Maak bijvoorbeeld afspraken over wie ervoor zorgt dat de data:
+Wanneer een algoritme wordt ontwikkeld door een derde partij en dus niet wordt beheerd door de eigen organisatie, maak je duidelijke afspraken over eigenaarschap van de data. Dat geldt zowel voor de inputdata als de outputdata. +Zorg dat de inputdata tot je beschikking blijft, zodat resultaten altijd reproduceerbaar zijn.
+De organisatie is afhankelijk voor de data of het model afhankelijk van derden en kan daardoor reproduceerbaarheid en prestatie niet garanderen.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +dat-09Dataverkenning en datapreparatieOntwikkelenOntwikkelaarProjectleiderDataDuurzaamheid
+Houd datasets beperkt tot het noodzakelijke en voldoende specifiek om onnodige energieconsumptie te voorkomen tijdens de verwerking en opslag van data voor algoritmes. We noemen dit ook wel dataminimalisatie.
+Hoe meer je bewaart, hoe meer ruimte dat kost om op te slaan. Bovendien verbruikt elk apparaat dat nodig is om data op te slaan stroom. Dat heeft grote invloed op de CO₂-uitstoot van een datacentrum. +Grote datasets brengen daarom hoge energie- en opslagkosten met zich mee. Door de dataset bewust te beperken tot relevante gegevens, kun je ook de energie-efficiëntie van algoritmes aanzienlijk verbeteren. Vooral bij de ontwikkeling van AI-systemen kan het verminderen van data bijdragen aan lagere energiebehoeften en CO₂-uitstoot.
+Zonder dataminimalisatie loopt je organisatie het risico op onnodig hoge energie- en opslagkosten, en een grotere ecologische impact.
+owk-01OntwikkelenProjectleiderOntwikkelaarTechnische robuustheid en veiligheid
+Hanteer principes van ‘security by design’ (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. +Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. +Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.
+Security by design is gehanteerd en terug te zien als uitgangspunt. (BIO 14.2.1.1)
+Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.
+Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owk-02OntwikkelenImplementatieProjectleiderOntwikkelaarGovernanceMenselijke controle
+Tref (technische) maatregelen waarmee het gebruik van het algoritme kan worden stopgezet.
+Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme dat onjuist functioneert en niet tijdig kan worden stopgezet.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +owk-03OntwerpOntwikkelenMonitoring en beheerProjectleiderJuristPrivacy en gegevensbescherming
+Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico.
+Privacyrisico's met de inzet van algoritmes worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owk-04OntwikkelenMonitoring en beheerOntwikkelaarTechnische robuustheid en veiligheid
+Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. +Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). +Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. +Bedenk wat deze informatie betekent in de context van de werking van het algoritme.
+Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +owk-05OntwikkelenOntwikkelaarDuurzaamheid
+Gebruik energie-efficiënte programmeertechnieken en methoden die de benodigde rekenkracht minimaliseren.
+Energiezuinig programmeren maakt het mogelijk om de voetafdruk van algoritmes te verkleinen door minder energie en middelen te verbruiken. Door specifieke technieken toe te passen, zoals optimalisatie van processen en efficiënte geheugenbeheerstrategieën, kun je als ontwikkelaar bijdragen aan het verduurzamen van algoritmes.
+Lean coding en minimalisatie van code bloat
+ Lean coding richt zich op het gebruik van alleen de benodigde code zonder overbodige complexiteit of libraries, wat resulteert in lagere energieconsumptie. Door “code bloat” te vermijden, zorg je ervoor dat het algoritme minder verwerkingskracht en geheugen verbruikt.
Gebruik van energiezuinige programmeertalen en frameworks
+ Programmeren in talen zoals Rust, Go en Elixir draagt bij aan energie-efficiëntie doordat deze ontworpen zijn voor lage resource-omvang en hoge efficiëntie. Ook frameworks die lichtgewicht en modulair zijn, ondersteunen energiezuinige processen.
Parallel processing en multi-core optimalisaties
+ Door parallelle verwerking en multi-core optimalisaties toe te passen, wordt rekenwerk verdeeld over meerdere cores. Dit reduceert de totale verwerkingstijd, bespaart energie en verhoogt de prestaties van je code op het vlak van duurzaamheid.
Microservices en modulaire architecturen
+ Een modulaire architectuur, zoals microservices, zorgt ervoor dat je onderdelen van de applicatie alleen activeert wanneer dat nodig is. Dit voorkomt onnodige belasting en beperkt energieverbruik behoorlijk.
Geoptimaliseerd geheugenbeheer
+ Door efficiënt geheugenbeheer, zoals caching en lazy loading, voorkom je onnodige data-opslag en bewerkingen. Dit verlaagt de energievraag en verbetert de snelheid van het algoritme aanzienlijk.
Geen vereisten beschikbaar voor deze maatregel.
+ +Zonder energie-efficiënte methoden kan het algoritme onnodig veel energie verbruiken, wat leidt tot hogere operationele kosten en een grotere milieu-impact.
+owk-06OntwikkelenOntwikkelaarDuurzaamheid
+Streef naar energiezuinige methoden voor AI-training, zoals het beperken van trainingscycli en het gebruik van energie-efficiënte hardware.
+Het trainen van AI, vooral generatieve AI-modellen, vergt aanzienlijke energie en heeft daardoor een grote ecologische voetafdruk. Een enkele trainingsronde kan al een enorme hoeveelheid CO₂ uitstoten. Door enkele concrete methoden toe te passen, kun je deze impact beperken.
+Niet alle beschikbare data dragen bij aan de modelprestaties. Door een dataselectiestrategie toe te passen, gebruik je enkel relevante datasets (dataminimalisatie), wat zorgt voor minder intensieve rekenbelasting tijdens het trainingsproces. Daarnaast kan slimme caching helpen om repetitieve data-opvragingen te beperken, wat bijdraagt aan een lagere energievraag. Bovendien kun je hertrainingscycli van AI beperken door enkel updates te doen wanneer nieuwe data dit echt vereist. Dit voorkomt overbodige trainingscycli en bespaart energie.
+Zonder energie-efficiënte methoden kan AI-training leiden tot hoge operationele kosten en een aanzienlijke ecologische impact, met name door overmatig gebruik van rekenkracht en energie-intensieve hardware.
+ver-01OntwikkelenVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarTechnische robuustheid en veiligheidBias en non discriminatie
+Stel vast dat het algoritme voortdurend functioneert in lijn met de vastgestelde doelstelling.
+Het algoritme functioneert niet in lijn met geformuleerde doelstellingen.
+ + +Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +ver-01OntwerpVerificatie en validatieMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarJuristBias en non discriminatie
+Analyseer of het gebruik van het algoritme of het proces daaromheen leidt tot onwenselijke of onrechtmatige verschillen in de behandeling van individuen en/of groepen.
+Het uitvoeren van een analyse over onwenselijke of onrechtmatige verschillen bestaat grofweg uit 3 stappen:
+Voor alle stappen geldt dat het belangrijk is om de gemaakte keuzes en afwegingen zorgvuldig te onderbouwen en te documenteren. De 3 stappen worden hieronder verder toegelicht.
+Opmerking
+Deze maatregel is in ieder geval van toepassing op natuurlijke personen. Voor andere rechtspersonen zoals bedrijven kan dit ook van toepassing zijn. Denk bijvoorbeeld aan een gelijke behandeling tussen eenmanszaken en grotere bedrijven.
+In deze stap is het doel om te bepalen in welke mate er sprake is van een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen. +Dit verschil kan zowel op een directe als een indirecte manier ontstaan.
+Toetsen op direct onderscheid is in vergelijking tot toetsen op indirect onderscheid relatief eenvoudig.
+Bepaal of de inputvariabelen die gebruikt worden leiden tot een direct onderscheid op basis van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid1 of burgelijke staat.
+Het is niet mogelijk om een uitputtend overzicht te geven van alle selectiecriteria die mogelijk tot direct onderscheid op grond van ras of nationaliteit kunnen leiden. +Wel zijn in de jurisprudentie verschillende voorbeelden en aanknopingspunten te vinden. +Zo staat vast dat selectie op basis van fysieke etnische kenmerken, zoals huidskleur, direct onderscheid op grond van ras oplevert2. +Een ander voorbeeld is dat onderscheid op grond van een niet-westers klinkende naam direct onderscheid op grond van afkomst (en dus ras) oplevert3.
+Ook selectiecriteria die op het eerste gezicht geen enkele link lijken te hebben met een discriminatiegrond kunnen leiden tot indirect onderscheid op grond van een discriminatiegrond. +Enkele voorbeelden van zulke 'ogenschijnlijk neutrale' selectiecriteria die verband hebben met ras of nationaliteit zijn: postcode, hoogte van het inkomen, kenteken, familielid in het buitenland, laaggeletterdheid. +Indirect onderscheid is in vergelijking met direct onderscheid lastiger op te signaleren en te voorkomen. +Daarom is het belangrijk jouw algoritmische toepassing regelmatig te analyseren op eventueel indirect onderscheid. +Het toetsen op indirect onderscheid bestaat uit 5 stappen:
+Bepaal wat de kwetsbare groepen zijn. +Eventueel kan dit aangevuld worden op basis van de discriminatiegronden uit non-discriminatie wetgeving. Of andere groepen waarvoor verschillen in behandeling ethisch onwenselijk zijn.
+Bepaal wat "verschillen in behandeling" betekent in de context van het algoritme. +In deze stap is het belangrijk om voorafgaand aan de daadwerkelijke analyse met een brede groep stakeholders te bepalen wat 'eerlijk' en 'rechtvaardig' wordt bevonden in de context van het betreffende algoritme. +Er zijn veel verschillende manieren waarop je kan kijken naar onderscheid bij het gebruik van algoritmes. Voorbeelden van manieren waarop je naar onderscheid kan kijken zijn:
+Om te toetsen of er sprake is van onderscheid op basis van gelijke prestaties, is het noodzakelijk om de prestaties van het algoritme goed te analyseren. +In het geval van classificatie is het daarvoor nodig om een zogeheten confusion matrix op te stellen. +Een confusion matrix is een tabel waarin de voorspellingen van het algoritme worden vergeleken met de werkelijke waarden (de ground truth).
+De verschillende maten/metrieken waarop gekeken kan worden naar onderscheid, worden in de (wetenschappelijke) literatuur ook wel fairness metrieken genoemd. +Veel van deze metrieken kunnen op basis van de confusion matrix berekend worden. +Een hulpmiddel om de meest passende metrieken te kiezen in jouw situatie is de Fairness tree.
+Door te denken vanuit verschillende perspectieven, zullen er in de praktijk meerdere metrieken van belang zijn. +Het kan echter voorkomen dat deze metrieken elkaar tegenspreken. +Maak een duidelijke prioritering van de verschillende metrieken om afwegingen te maken tussen de verschillende opvattingen van eerlijkheid.
+Verzamel de benodigde data die nodig is om bovenstaande groepen te bepalen. +Bepaal welke data benodigd is om te analyseren of er verschillen zijn tussen bepaalde groepen. +In veel gevallen zal data benodigd zijn die demografische en beschermde kenmerken van groepen omschrijft. +Het verzamelen en verwerken van deze data kan in strijd zijn met privacy vereisten uit bijvoorbeeld de Algemene Verordening Gegevensbescherming. +Het is daarom van belang om duidelijk afwegingen te maken tussen privacy en het analyseren van bias die rekening houdt met de juridische en ethische vereisten.
+Uitzondering voor hoog risico AI-systemen
+De AI-verordening biedt een uitzondering voor het verwerken van bijzondere categorieën persoonsgegevens voor het monitoren, opsporen en corrigeren van bias bij AI-systemen met een hoog risico. Zie artikel 10.5, AI-verordening.
+Om de data op een veilige en rechtmatige manier te gebruiken voor een biasanalyse dient de data van voldoende kwaliteit te zijn. +Denk hier goed na of de data eventuele bias bevat die kan duiden op een bepaalde vooringenomenheid in de biasanalyse zelf (historische bias of representatie bias). +De data dient bijvoorbeeld voldoende actueel en volledig te zijn.
+Voor sommige groepen zal het onmogelijk zijn om te beschikken over data van voldoende kwaliteit om zorgvuldig te toetsen op bias. +De laaggeletterdheid van burgers of personen is bijvoorbeeld lastig meetbaar en in veel gevallen niet beschikbaar. +Bepaal in zo'n situatie of er andere mogelijkheden zijn deze groepen te helpen, of dat er andere mogelijkheden zijn om eventuele ongelijke behandeling bij deze groepen te constateren. +Bijvoorbeeld door hierop te monitoren in de klacht- en bezwarenprocedure.
+Bereken de verschillen in behandeling en/of uitkomsten van het algoritme. +Er zijn verschillende open source softwarepakketten die je hierbij kunnen ondersteunen, zoals fairlearn, Aequitas, fairml, fairness of AI Fairness 360.
+Probeer te verklaren hoe het geconstateerde onderscheid is ontstaan. +Als er in de vorige stap een significant onderscheid is geconstateerd, is het belangrijk om na te gaan hoe dit onderscheid is ontstaan. +Dit kan bijvoorbeeld ontstaan door:
+Wanneer duidelijker is hoe de geconstateerde bias is ontstaan, is het goed om te verkennen of er mogelijkheden zijn om dit (in de toekomst) te voorkomen.
+Het is belangrijk hier een brede groep aan belanghebbenden bij te betrekken. +De oorzaken van bias komen uit de 'echte wereld', waarbij patronen in datasets historische, demografische en sociale verschillen weerspiegielen. +Het verklaren en voorkomen van bias vraagt daarmee niet alleen om technische oplossingen, maar het is belangrijk de hele socio-technische omgeving waarin het algoritme wordt ingezet mee te nemen.
+Wanneer er in Stap 1 is geconstateerd dat er sprake is van een onderscheid, dient de volgende vraag beantwoord te worden:
+++Valt dit onderscheid te rechtvaardigen?
+
Een geconstateerd systematisch onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. +Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn:
+Twee subvragen die hierbij beantwoord moeten worden zijn:
+Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. +Het algoritme mag in dat geval niet gebruikt worden.
+Voor meer toelichting over het uitvoeren van een rechtvaardigingstoets, verwijzen we naar het rapport Discriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader van het College voor de Rechten van de Mens.
+Bepaal of het geconstateerde onderscheid uit Stap 1 ethisch wenselijk is. Dit hangt samen met de algemene wenselijkheid van de inzet van het algoritme.
+ + +In sommige gevallen kan het zo zijn dat ondanks dat er een objectieve rechtvaardiging bestaat voor het gemaakte onderscheid, dit vanuit ethisch perspectief toch onwenselijk is. +Bepaal met een grote groep belanghebbenden wat eventuele (nadelige) effecten van het gemaakte onderscheid kunnen zijn, of jullie dit eerlijk vinden en of er eventuele alternatieven zijn.
+Opmerking
+De bepaling over wat eerlijk is en wat ethisch wenselijk is kan in sommige gevallen ook politiek bevonden worden. Houd hier rekening met de politiek-bestuurlijke verantwoordelijkheden en zorg indien nodig dat de politiek-bestuurlijke verantwoordelijkhden duidelijk zijn.
+Wanneer er geen zorgvuldige analyse naar (onwenselijke) bias is uitgevoerd, bestaat het risico dat het gebruik van het algoritme discriminerende effecten met zich meebrengt. +Dit kan leiden tot een ongelijke behandeling van burgers met eventuele schade voor betrokkenen.
+Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet. ↩
+Zie Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader, College voor de Rechten van de Mens ↩
+Zie Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader, College voor de Rechten van de Mens, College voor de Rechten van de Mens 7 juni 2021, oordeel 2021-70; College voor de Rechten van de Mens 23 april 2015, oordeel 2015-44; College voor de Rechten van de Mens 23 april 2015, oordeel 2014-0426. ↩
+ver-03Verificatie en validatieJuristGovernanceTransparantie
+Stel regelmatig vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
+Voor machine learning algoritmes moet bijvoorbeeld worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen) al dan niet passend zijn bij het ondersteunen van wettelijke taken.
+Er is een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers, juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en doorlopend te maken.
+Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.
+imp-01ImplementatieProjectleiderOntwikkelaarMenselijke controleTransparantie
+Stel een werkinstructie op voor gebruikers.
+Het is belangrijk dat gebruikers een werkinstructie ontvangen met informatie over hoe zij met het algoritme kunnen en moeten werken. Hierin worden zaken beschreven als:
+Denk hierbij na over het eventueel bijscholen van medewerkers als het kennisniveau nog onvoldoende is om de werkinstructies goed te begrijpen.
+Het algoritme wordt onjuist gebruikt of verkeerd geïnterpreteerd door gebruikers, waardoor onjuiste belissingen of besluiten worden genomen.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +imp-02Dataverkenning en datapreparatieImplementatieMonitoring en beheerOntwikkelaarBias en non discriminatieTechnische robuustheid en veiligheid
+Uitvoeren van aselecte steekproeven als aanvulling wanneer gebruik gemaakt wordt van risicogestuurde selectie.
+Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.
+Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. +Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. +Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. +Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. +Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.
+De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. +Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.
+Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. +Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. +Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.
+Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. +Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.
+Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. +Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. +De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. +Op die manier kan automation bias beperkt te worden. +Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. +Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.
+De precieze inzet van aselecte steekproeven zal afhangen van de context. +Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. +Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.
+In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. +Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. +Deze belangenenafweging moet per context gemaakt worden.
+Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)
+In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +imp-03OntwerpImplementatieMonitoring en beheerProjectleiderBeleid en adviesMenselijke controleGovernance
+Richt (technische) controlemechanismen in voor menselijke tussenkomst (of: menselijke controle) waarmee de output van een algoritme kan worden gecontroleerd.
+Algoritmes ondersteunen vaak beslissingen en besluitvorming van overheidsorganisaties. Deze beslissingen of besluiten kunnen betrokkenen in aanmerkelijke mate raken of zelfs rechtsgevolgen hebben. Omdat algoritmes niet foutloos zijn, is het belangrijk dat een mens controleert wat een algoritme doet en, waar nodig, corrigeert. Dit proces heet 'menselijke tussenkomst' en moet betekenisvol zijn, niet slechts symbolisch.
+Het inrichten, monitoren en evalueren van menselijke controle is cruciaal om te voorkomen dat algoritmes negatieve effecten veroorzaken of de menselijke autonomie ondermijnen.
+Betekenisvolle menselijke controle houdt in dat:
+Soms is menselijke tussenkomst minder relevant, zoals bij ‘gebonden bevoegdheden’. Hierbij is weinig tot geen ruimte om een beslissing of besluit aan te passen. Voorbeelden zijn:
+Om menselijke tussenkomst goed te organiseren, zijn technische en organisatorische maatregelen nodig. Dit geldt ook wanneer een externe aanbieder de algoritmes levert. In dat geval moet de verantwoordelijke organisatie (gebruiksverantwoordelijke) samen met de aanbieder bepalen hoe menselijke tussenkomst zinvol kan worden ingericht.
+Er zijn verschillende manieren om menselijke tussenkomst in te richten, afhankelijk van de specifieke toepassing van een algoritme. Hieronder worden vier mogelijkheden beschreven die kunnen worden ingezet, los of in combinatie:
+Bij dit model speelt de mens een actieve rol in elke fase van het algoritme. Deze variant geeft de meeste controle en invloed, maar kan leiden tot vertraagde of minder efficiënte besluitvorming, vooral bij real-time of zeer complexe taken waarbij snelheid cruciaal is. +Een voorbeeld van toepassen van Human-in-the-loop is het nakijken en beoordelen van de output van een algoritme door een mens, telkens voordat een beslissing wordt genomen. Het verwerken van data gebeurt alleen in opdracht van de mens en verder neemt het algoritme of AI model geen autonome beslissingen.
+Hier behoudt de mens toezicht en kan ingrijpen wanneer dat nodig is, om te garanderen dat een model veilig en ethisch opereert. Dit model biedt daardoor een balans tussen autonome besluitvorming en menselijke controle. Het is vooral nuttig in situaties waarin afwijkende keuzes of acties van het algoritme grote gevolgen kunnen hebben. De menselijke operator houdt de werking van het algoritme in de gaten en staat klaar om in te grijpen of beslissingen terug te draaien wanneer nodig.
+In dit model houdt de mens toezicht op een hoger niveau, met een focus op strategische en ethische keuzes, in plaats van dat de menselijke operator zich bezighoudt met directe operationele beslissingen. Dit stelt de mens in staat in te grijpen wanneer kritieke morele, juridische of sociale zorgen ontstaan om het model op de langere termijn bij te sturen. De menselijke tussenkomst is gericht op het bepalen van beleid en de richtlijnen voor algoritmes. Het gaat daarbij niet alleen over het definiëren van operationele procedures maar ook het maken van bepaalde ethische overwegingen, het zorgen voor naleving van regelgeving en het overwegen van de implicaties van de inzet van algoritmes op de lange termijn.
+Hier maakt de mens vooraf ethische en morele afwegingen die in het algoritme zelf worden ingebouwd. Hoewel het model in productie autonoom opereert, zal de menselijke input gedurende de ontwikkeling ervoor zorgen dat het model ook in complexe situaties volgens de juiste (ethische) afwegingen keuzes en acties onderneemt.
+Dit model is essentieel in situaties waar menselijk ingrijpen tijdens de uitvoering niet mogelijk is (wanneer er bijvoorbeeld weinig of helemaal geen tijd is om als mens te interveniëren), maar waar ethische keuzes cruciaal blijven. Denk aan bestrijding van zeemijnen of situaties met zelfrijdende auto’s in onvoorspelbare verkeerssituaties (bron: TNO visiestuk 2022). Deze variant kan ook worden ingezet voor situaties waarin wel nog menselijk ingrijpen mogelijk is.
+Het niet inrichten van passende menselijke controle leidt tot onverantwoorde inzet van algoritmen en het niet voldoen aan wettelijke vereisten.
+imp-04ImplementatieMonitoring en beheerProjectleiderBeleid en adviesTransparantie
+Publiceer het algoritme in het Nederlandse Algoritmeregister.
+Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben.
+imp-06OrganisatieverantwoordelijkhedenOntwikkelenProjectleiderBeleid en adviesJuristPrivacy en gegevensbeschermingGovernanceData
+Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes worden ontwikkeld of gebruikt.
+Betrokkenen hebben geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op hun privacyrechten.
+Onderzoekskader Algoritmes Auditdienst Rijk, PRI.9
+imp-05ImplementatieProjectleiderBeleid en adviesGovernanceMenselijke controle
+Stel duidelijke werkinstructies op voor de medewerkers die het algoritme gaan gebruiken.
+Opleiding van medewerkers over:
+Bespreek regelmatig de uitdagingen die medewerkers ondervinden bij het werken met het systeem (bijv. tijdsdruk).
+Documenteer alle keuzes en de onderliggende redenen/afwegingen rondom menselijke tussenkomst en overzicht. Evalueer en pas gemaakte keuzes waar nodig aan.
+Goede samenwerking tussen medewerkers en systemen helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.
+Bias, discriminatie, de facto automatische besluitvorming.
+Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
+ + + + + + + + + + + + + + + + + + + + + + + + +imp-07ImplementatieProjectleiderJuristPrivacy en gegevensbeschermingTransparantie
+Neem het gebruik van een algoritme op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.
+In een privacyverklaring wordt in ieder geval het volgende opgenomen:
+de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
+als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
+Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
+Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +imp-09ImplementatieMonitoring en beheerProjectleiderOntwikkelaarGovernance
+Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme. Zorg voor goede monitoring van dit proces zodat het projectteam op de hoogte is van klachten, bezwaren en beroepen over het systeem.
+imp-08ImplementatieProjectleiderJuristTransparantiePrivacy en gegevensbescherming
+Neem de ontwikkeling en gebruik van een algoritme op in het verwerkingsregister als persoonsgegevens worden verwerkt.
+Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben.
+imp-01OrganisatieverantwoordelijkhedenImplementatieProjectleiderGovernanceTransparantie
+Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme.
+De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of beëindiging van het gebruik van impactvolle algoritmes, terwijl deze daar niet toe bevoegd is.
+Besluit College van Burgemeester en Wethouders Gemeente Amsterdam
+ + + + + + + + + + + + + + + + + + + + + + + + +mon-01OntwikkelenMonitoring en beheerOntwikkelaarBeleid en adviesTechnische robuustheid en veiligheid
+Back-up kopieën van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. +Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.
+Er is een back-up beleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Dit beleid moet vervolgens worden vertaald naar (technische) maatregelen om het kunnen maken van back-ups te realiseren.
+Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +mon-02Dataverkenning en datapreparatieOntwikkelenMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
+Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme. +Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.
+Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme. Hierbij kan worden gedacht aan: +Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.
+Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +mon-03OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderBeleid en adviesJuristTechnische robuustheid en veiligheidGovernance
+Richt een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.
+Er zijn procedures aanwezig die borgen dat beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het incident, worden opgepakt.
+Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +mon-04Monitoring en beheerOntwikkelaarDataTechnische robuustheid en veiligheid
+Monitor regelmatig op veranderingen in de inputdata. Bij geconstateerde veranderingen evalueer je de prestaties en de output van het algoritme.
+De inputdata kan voortdurend veranderen. +Dat kan komen doordat de context waarin het algoritme wordt gebruikt verandert, of door een technische fout wanneer de data bijvoorbeeld niet goed is ingelezen of aangeleverd. +Het te laat opmerken van zo'n verandering kan grote gevolgen hebben. +Daarom is het belangrijk om regelmatig te controleren en evalueren of:
+Zeker wanneer er gebruikt wordt gemaakt van informatie van derden, is het belangrijk om regelmatig te controleren of er veranderingen in de data zijn. Goede monitoring op datakwaliteit zorgt ervoor dat je voldoende controle hebt over de kwaliteit van de data, zelfs als je hiervoor afhankelijk bent van andere partijen.
+Door veranderingen in de data presteert het model niet meer zoals verwacht.
+Heb jij een goed voorbeeld? Laat het ons weten!
+ + + + + + + + + + + + + + + + + + + + + + + + +mon-05OntwerpMonitoring en beheerOntwikkelaarBeleid en adviesProjectleiderDuurzaamheid
+Inventariseer en monitor de milieu-impact van algoritmes (bijvoorbeeld door het doen van een impact-assessment), zowel tijdens ontwerp als bij het gebruik, en rapporteer deze om duurzame keuzes mogelijk te maken.
+Tref bijvoorbeeld de volgende maatregelen, wanneer je de milieu-impact van algoritmes gaat inventariseren of monitoren:
+De milieu-impact van algoritmes kan worden gemeten en geoptimaliseerd door een Digital Product Passport (DPP) te overwegen. +DPP's bieden een platform voor duurzame rapportage door middel van real-time informatie over onder andere CO₂-uitstoot, herkomst en energiegebruik, wat kan helpen om de ecologische voetafdruk van een algoritme transparant te maken. +Door deze gegevens structureel te verzamelen en te delen, kunnen gebruikers en bedrijven inzicht krijgen in de duurzaamheidsprestaties. +De milieu-impact van verschillende algoritmes/modellen kan een rol spelen bij het kiezen van een model in de ontwerpfase. Ook kan het ervoor zorgen dat je later kiest om een ander model te gebruiken, of het gebruik van een model of systeem zelfs te beëindigen.
+Wanneer de milieu-impact (in bepaalde mate) inzichtelijk is, kan er een milieu-impact assessment worden gedaan. Ga na of je organisatie die een heeft of overweeg deze te ontwikkelen.
+Probeer ook periodieke monitoringsrapporten op te stellen waarin de milieu-impact van algoritmes wordt bijgehouden. +Hiermee vergroot je de duurzaamheid door tijdig verbeteringen te signaleren en door te voeren. Hierbij kan ook een onderscheid worden gemaakt in de impact tijdens de trainingsfase van het algoritme en de gebruiksfase.
+Wanneer in de ontwerpfase niet wordt nagedacht over milieu-impact kan onbewust voor een algoritme of model worden gekozen dat meer energie verbruikt (en wellicht hogere kosten met zich mee brengt) dan een model dat misschien even goed presteert voor het gekozen doel. +Zonder structurele monitoring van de milieu-impact kan de organisatie onbewust bijdragen aan een hoge CO₂-uitstoot en hoge energieverbruikskosten.
+Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.
+De maatregelen zijn niet verplicht. Het zijn adviezen uit:
+++Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.
+
Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.
+Tip
+Aantal maatregelen verschilt per situatie
+Welke maatregelen handig zijn in jouw situatie, hangt af van:
+Tip
+Met één maatregel voldoe je soms aan meerdere vereisten.
+Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +aia-01OrganisatieverantwoordelijkhedenProjectleiderMenselijke controleGovernance
+Personeel en gebruikers zijn voldoende AI-geletterd.
+Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken.
+Zij houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
+De AI-kennisplicht betekent bijvoorbeeld dat een HR-medewerker moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren, waardoor een sollicitant onterecht wel of juist niet wordt voorgedragen. En een baliemedewerker bij een gemeente die een AI-systemen gebruikt om de burgers te helpen, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen. En dat diegene de uitkomsten van dit soort AI-systemen niet blindelings kan volgen.
+Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
+Vanaf februari 2025 treedt deze vereiste in werking.
+Artikel 4 Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAI-model voor algemene doeleindenhoog risico AI-systeemverboden AIgeen hoog risico AI-systeemAanbiederGebruiksverantwoordelijke
+Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt.
+Dit kan leiden tot inefficiëntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.
+aia-01OrganisatieverantwoordelijkhedenProbleemanalyseProjectleiderGovernance
+Verboden AI-systemen mogen niet worden gebruikt.
+Afgezien van de vele nuttige toepassingen van AI kan zij ook worden misbruikt en nieuwe en krachtige instrumenten voor manipulatie, uitbuiting en sociale controle opleveren. +Dergelijke praktijken zijn bijzonder schadelijk en abusief en moeten worden verboden omdat zij in strijd zijn met de waarden van de Unie, namelijk eerbied voor de menselijke waardigheid, vrijheid, gelijkheid, democratie en de rechtsstaat, en met de grondrechten van de Unie die zijn vastgelegd in het Handvest, waaronder het recht op non-discriminatie, gegevensbescherming en privacy, en de rechten van het kind.
+In de volgende gevallen gaat het om een verboden toepassing op grond van de AI-Verordening: +- gebruik kan gaan maken van subliminale technieken om mensen onbewust of bewust kunnen manipuleren, waardoor ze beslissingen nemen die ze anders niet zouden hebben genomen? +- gebruik kan gaan maken van kwetsbaarheden van individuen of specifieke groepen, zoals leeftijd, handicaps of sociale/economische omstandigheden, om het gedrag van die personen aanzienlijk te verstoren, wat kan leiden tot aanzienlijke schade bij henzelf of anderen? +- gebruikt kan worden om natuurlijke personen of groepen gedurende een periode te evalueren of te classificeren op basis van hun sociale gedrag of afgeleide persoonlijke kenmerken? +- gebruikt kan worden voor risicobeoordelingen van natuurlijke personen om het risico op crimineel gedrag te voorspellen, gebaseerd op profilering of persoonlijkheidskenmerken? (Dit geldt niet voor AI-systemen die worden gebruikt om menselijke beoordelingen te ondersteunen, gebaseerd op objectieve en verifieerbare feiten die rechtstreeks verband houden met criminele activiteiten) +- gebruikt kan worden om databanken voor gezichtsherkenning aan te leggen of aan te vullen door willekeurige gezichtsafbeeldingen van internet of CCTV-beelden te scrapen? +- gebruikt kan worden om emoties van een persoon op de werkplek of in het onderwijs af te leiden? (Dit is niet van toepassing als het gebruik van het AI-systeem is bedoeld voor medische- of veiligheidsdoeleinden) +- gebruikt kan worden om natuurlijke personen individueel in categorieën in te delen op basis van biometrische gegevens om ras, politieke opvattingen, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, seksleven of seksuele geaardheid af te leiden? (Dit verbod geldt niet voor het labelen of filteren van rechtmatig verkregen biometrische datasets, zoals afbeeldingen, op basis van biometrische gegevens, of voor categorisering van biometrische gegevens op het gebied van rechtshandhaving) +- gebruikt kan worden als een biometrisch systeem in de publieke ruimte voor identificatie op afstand in real-time, met het oog op de rechtshandhaving?
+Er zijn een tweetal uitzonderingen voor het inzetten van verbonden AI-systemen. Deze zijn: +- Er is sprake van een rechtshandhavingsactiviteit i.v.m. een specifiek misdrijf (terrorisme, mensenhandel, seksuele uitbuiting van kinderen en materiaal over seksueel misbruik van kinderen, illegale handel in verdovende middelen en psychotrope stoffen, illegale handel in wapens, munitie en explosieven, moord, zware mishandeling, illegale handel in menselijke organen en weefsels, illegale handel in nucleaire en radioactieve stoffen, ontvoering, wederrechtelijke vrijheidsberoving en gijzeling, misdrijven die onder de rechtsmacht van het Internationaal Strafhof vallen, kaping van vliegtuigen/schepen, verkrachting, milieucriminaliteit, georganiseerde of gewapende diefstal, sabotage, deelneming aan een criminele organisatie die betrokken is bij een of meer van de bovengenoemde misdrijven). +- Er is sprake van gerichte opsporing van specifieke slachtoffers, ontvoering, mensenhandel en seksuele uitbuiting van mensen, vermiste personen; of het voorkomen van bedreigingen voor het leven of de fysieke veiligheid van personen of het reageren op de huidige of voorzienbare dreiging van een terreuraanslag.
+Bepaal in een vroege fase en bij het onderbouwen van het gebruik van een AI-systeem of de beoogde toepassing is toegestaan.
+Artikel 5 Verordening Artificiële Intelligentie.
+Overweging 29 - 44 AI-Verordening.
+AI-systeemverboden AIAanbiederGebruiksverantwoordelijke
+Er ontstaat een onrechtmatige situatie voor een organisatie als deze AI inzet, die verboden is.
+| id | Maatregelen |
|---|---|
| pba-03 | Beschrijf waarom een algoritme het probleem moet oplossen |
aia-02OntwerpProjectleiderGovernanceTransparantie
+Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
+Een aanbieder die van mening is dat er geen sprake is van een in bijlage III bedoeld AI-systeem, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld.
+Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
+De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening).
+AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van (risicovolle) AI-systemen.
+aia-03OrganisatieverantwoordelijkhedenProjectleiderGovernance
+Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.
+Het systeem voor risicobeheer moet bestaan uit een gepland iteratief proces, dat tijdens de gehele levensduur van een hoog-risico AI-systeem wordt doorlopen. Een organisatie moet ervoor zorgen dat een risicobeheersysteem wordt ingericht in de organisatie.
+Het risicobeheersysteem moet gericht zijn op het vaststellen en beperken van de relevante risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten met passende maatregelen.
+Het systeem voor risicobeheer moet periodiek worden geëvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
+Dit proces moet ervoor zorgen dat de aanbieder de risico’s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten.
+Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico’s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. De aanbieder moet aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
+Bij het vaststellen van passende risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes hebben gedocumenteerd en voorzien van een toelichting en, in voorkomend geval, deskundigen en externe belanghebbenden hierbij betrekken.
+Artikel 9(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.
+aia-04OntwerpMonitoring en beheerProjectleiderBeleid en adviesFundamentele rechtenBias en non discriminatie
+Bij het doorlopen, het periodieke systematische toetsen en actualiseren van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
+Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen.
+Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
+Artikel 9(9) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.
+aia-05Dataverkenning en datapreparatieVerificatie en validatieProjectleiderOntwikkelaarData
+AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.
+AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria.
+Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria zijn te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.
+Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan:
+Artikel 10(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. +Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.
+aia-06Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieProjectleiderOntwikkelaarTransparantie
+Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie.
+De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt.
+Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van AI-Verordening (afdeling 2), zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. Daarvoor moet de informatie op een heldere en begrijpelijke wijze zijn opgesteld.
+De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV AI-Verordening:
+De documentatie kan opgevraagd worden door een bevoegde autoriteit met een met redenen omkleed verzoek, zoals toegelicht in artikel 21 van de AI-verordening.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. +Dat kan tot problemen leiden bij de verantwoording, controle, beheer en conformiteit met regelgeving.
+aia-07OntwikkelenMonitoring en beheerOntwikkelaarProjectleiderTechnische robuustheid en veiligheid
+Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens.
+AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als "logs".
+Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken.
+Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert. Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in:
+Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systemen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.
+AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemAanbieder
+Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.
+aia-08OntwerpOntwikkelenMonitoring en beheerProjectleiderOntwikkelaarBeleid en adviesTransparantie
+Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.
+AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken.
+Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd.
+In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.
+Artikel 13(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.
+aia-09OntwerpOntwikkelenMonitoring en beheerProjectleiderMenselijke controle
+Hoog-risico-AI-systemen staan onder menselijk toezicht.
+AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-hulpmiddelen, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.
+Het menselijk toezicht is gericht op het voorkomen of beperken van de risico’s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico’s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.
+De te treffen toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. +Hierbij kan het gaan om:
+De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen:
+In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verificiëren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.
+Artikel 14 verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.
+aia-10OntwerpOntwikkelenMonitoring en beheerProjectleiderBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
+Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
+AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden.
+Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.
+Technische robuustheid is een essentiële eis voor AI-systemen met een hoog risico. +Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties).
+Er moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalieën voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.
+Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen.
+Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut.
+Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico’s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.
+Artikel 15 Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.
+aia-11OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance
+Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. +Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.
+Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. +Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.
+aia-12OntwerpMonitoring en beheerUitfaserenProjectleiderTechnische robuustheid en veiligheid
+De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten:
+De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. +Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. +Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
+aia-13OntwerpMonitoring en beheerUitfaserenProjectleiderTechnische robuustheid en veiligheid
+Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. +Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.
+Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. +Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
+aia-14Verificatie en validatieImplementatieJuristProjectleiderGovernance
+Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld
+Conformiteitsbeoordelingen dragen bij aan het kunnen vertrouwen op de kwaliteit van producten en diensten. Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd vóórdat het systeem op de markt wordt gebracht of in gebruik wordt genomen. Hiervoor moet worden beoordeeld of het ontwikkelde hoog risico AI-systeem voldoet aan de vereisten die gelden voor deze systemen. Denk hierbij aan de vereisten van risicobeheer, technische documentatie, data en datagovernance en transparantie en informatieverstrekking aan gebruiksverantwoordelijken (Afdeling 2, AI-Verordening).
+Een conformiteitbeoordeling kan worden uitgevoerd door middel van +- een interne controle (als bedoeld in bijlage VI van de AI-verordening) +- of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening). Een conformiteitsbeoordeling door een aangemelde instatie wordt ookwel een conformiteitsbeoordeling door een derden genoemd.
+Als overheidsorganisaties hoog risico AI-systemen gebruiken van aanbieders of deze zelf ontwikkelen, zullen deze systemen veelal de conformiteitsbeoordeling middels een interne controle moeten doorlopen (bijlage VI). Let op! In het geval dat een hoog risico AI-systeem door een rechtshandhavingsinstantie, immigratie- of asielautoriteit wordt ingezet, dan zal de markttoezichtautoriteit als aangemelde instantie optreden die de conformiteitsbeoordeling zal uitvoeren.
+AI-systemen met een hoog risico die al aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
+aia-15Verificatie en validatieImplementatieJuristProjectleiderGovernance
+Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.
+Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. +De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. +De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. +Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
+aia-16ImplementatieProjectleiderTransparantie
+Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.
+Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. +Op AI-systemen met een hoog risico die in een product zijn geïntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden +aangevuld met een digitale CE-markering. +Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. +De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
+aia-17ImplementatieProjectleiderGovernanceTransparantie
+Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.
+Vóór de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. +71 AI-verordening.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
+aia-18OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderMenselijke controleTechnische robuustheid en veiligheid
+Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. +Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.
+Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. +Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. +Het kan leiden tot juridische procedures en reputatieschade voor organisaties.
+aia-19OntwerpProjectleiderOntwikkelaarMenselijke controleTechnische robuustheid en veiligheid
+Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882
+Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. +In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. +Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico-AI-systemen.
+Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
+aia-20OrganisatieverantwoordelijkhedenImplementatieProjectleiderOntwikkelaarGovernance
+Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.
+Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. +De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.
+Artikel 26(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.
+| id | Maatregelen |
|---|
aia-21OrganisatieverantwoordelijkhedenProjectleiderGovernanceMenselijke controle
+Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.
+Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. +Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.
+aia-22Monitoring en beheerProjectleiderMenselijke controle
+Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening
+Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. +Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.
+Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. +Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. +Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. +Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.
+Voor gebruiksverantwoordelijke die in de hoedanigheid van financiële instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financiële diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financiële diensten.
+Artikel 26(5) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.
+| id | Maatregelen |
|---|---|
| owk-02 | Maak een noodplan voor het stoppen van het algoritme |
| imp-03 | Richt de juiste menselijke controle in van het algoritme |
| imp-01 | Maak een openbaar besluit over de inzet van het algoritme |
aia-23OntwikkelenMonitoring en beheerProjectleiderTechnische robuustheid en veiligheid
+Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens
+Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. +Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. +Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. +De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.
+Gebruiksverantwoordelijken die in de hoedanigheid van financiële instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financiële diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financiële diensten.
+Artikel 26(6) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
+| id | Maatregelen |
|---|
aia-24ImplementatieProjectleiderTransparantie
+Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. +Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.
+Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. +Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. +De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.
+Artikel 26(7) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Als werknemersvertegenwoordigers en werknemers niet worden geïnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.
+| id | Maatregelen |
|---|
aia-25OrganisatieverantwoordelijkhedenImplementatieMonitoring en beheerProjectleiderTransparantieGovernance
+Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. +Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is +geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.
+Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). +Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.
+Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. +De aanbieder of distributeur wordt door de gebruiksverantwoordelijke geïnformeerd dat het systeem niet is geregistreerd in de EU-databank.
+AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Zonder registratie van het hoog risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.
+| id | Maatregelen |
|---|
aia-28OrganisatieverantwoordelijkhedenOntwerpMonitoring en beheerProjectleiderGovernanceFundamentele rechtenTransparantie
+Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.
+Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. +Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. +Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. +Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.
+| id | Maatregelen |
|---|---|
| owp-07 | Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze. |
aia-29OntwerpVerificatie en validatieProjectleiderBeleid en adviesFundamentele rechten
+Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.
+Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. +Deze evaluatie is bedoeld om potentiële risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. +Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.
+AI-systeemAI-systeem voor algemene doeleindenGebruiksverantwoordelijke
+Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.
+| Hulpmiddelen |
|---|
| Impact Assessment Mensenrechten en Algoritmes |
aia-28OntwikkelenImplementatieProjectleiderOntwikkelaarTransparantie
+Aanbieders van AI-systemen zorgen dat AI-sytemen zodanig worden ontworpen en ontwikkeld dat de betrokken natuurlijke personen worden geïnformeerd dat zij interacteren met een AI-systeem. +Gebruiksverantwoordelijken moeten betrokkenen informeren over de werking van het systeem en in het geval van een AI-systeem dat content gegenereert duidelijk kenbaar maken dat de content kunstmatig is gegenereerd of gemanipuleerd.
+Dit geldt voor AI-systemen die:
+AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemgeen hoog risico AI-systeemAanbieder
+Bepaalde AI-systemen die bedoeld zijn om met natuurlijke personen te interageren of om content te genereren, kunnen specifieke risico’s op imitatie of misleiding met zich meebrengen, ongeacht of zij als systeem met een hoog risico gelden.
+| id | Maatregelen |
|---|
aia-29OntwerpOntwikkelenMonitoring en beheerProjectleiderTransparantie
+Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.
+Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. +Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. +Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.
+Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. +De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. +De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. +Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).
+In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.
+Artikel 53 Verordening Artificiële Intelligentie
+AI-model voor algemene doeleindenAanbieder
+Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
+| id | Maatregelen |
|---|
aia-30OntwikkelenVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarTransparantie
+Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico’s in kaart te brengen en te beperken.
+De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico’s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico’s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. +Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.
+Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.
+Systeemrisico’s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden beïnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze beïnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategieën, en door het potentieel om waarborgen te omzeilen en andere factoren.
+AI-model voor algemene doeleindenAanbieder
+Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.
+| id | Maatregelen |
|---|
aia-31Monitoring en beheerProjectleiderGovernanceTransparantie
+Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.
+Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. +Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. +Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. +Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
+Artikel 55(1c) Verordening Artificiële Intelligentie
+AI-model voor algemene doeleindenAanbieder
+Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
+| id | Maatregelen |
|---|
aia-32OntwikkelenMonitoring en beheerOntwikkelaarGovernanceTechnische robuustheid en veiligheid
+Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model.
+Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. +Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potentiële cyberdreigingen. +Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. +Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
+Artikel 55(1d) Verordening Artificiële Intelligentie
+AI-model voor algemene doeleindenAanbieder
+Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
+| id | Maatregelen |
|---|
aia-33OrganisatieverantwoordelijkhedenOntwikkelenDataverkenning en datapreparatieJuristOntwikkelaarProjectleiderPrivacy en gegevensbeschermingData
+Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.
+De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. +Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. +Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.
+AI-model voor algemene doeleindenAI-systeemAI-systeem voor algemene doeleindenAanbiederGebruiksverantwoordelijke
+Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.
+| id | Maatregelen |
|---|
aia-34Monitoring en beheerProjectleiderTechnische robuustheid en veiligheid
+Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologieën en de risico’s van het AI-systeem met een hoog risico.
+Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. +Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologieën en de risico's van het betreffende AI-systeem met een hoog risico. +Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potentiële impact van het AI-systeem.
+Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. +Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. +In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. +Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.
+Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. +Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.
+Artikel 72(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. +Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.
+| id | Maatregelen |
|---|
aia-35OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderGovernance
+Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.
+Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. +Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:
+Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. +Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.
+Artikel 73(1) Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potentiële gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.
+| id | Maatregelen |
|---|
aia-36OrganisatieverantwoordelijkhedenMonitoring en beheerProjectleiderGovernanceMenselijke controle
+Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.
+Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. +Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. +De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders ("klokkenluiders") beschermt tegen represailles of vervolging. +Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.
+Artikel 87 Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAI-model voor algemene doeleindenAanbiederGebruiksverantwoordelijke
+Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. + Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.
+| id | Maatregelen |
|---|
aia-37OrganisatieverantwoordelijkhedenProjectleiderFundamentele rechten
+Aanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.
+Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. +Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij geïntrigeerd hebben in AI-systemen. +Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.
+Artikel 89(2) Verordening Artificiële Intelligentie
+Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.
+| id | Maatregelen |
|---|
aia-39OntwerpOntwikkelenMonitoring en beheerVerificatie en validatieProjectleiderOntwikkelaarTechnische robuustheid en veiligheid
+Hoog-risico-AI-systemen zijn getest.
+AI-systemen met een hoog risico worden getest met het oog op het vaststellen van passende en gerichte risicobeheersmaatregelen. +De tests zorgen ervoor dat AI-systemen met een hoog risico consistent presteren ten aanzien van het doel ervan en in overeenstemming zijn met de geldende eisen.
+Het testen van AI-systemen met een hoog risico vindt, zoals passend, in de loop van het ontwikkelproces plaats en in ieder geval voordat het systeem in de handel wordt gebracht of in gebruik is gesteld.
+Er wordt getest aan de hand van vooraf vastgestelde beoordelingsmaatstaven en probabilistische drempels die passend zijn voor het beoogde doel van het AI-systeem met een hoog risico. De procedures voor testen zijn onderdeel van het kwaliteitsbeheer.
+Bij het verwerken van persoonsgegevens voor het ontwikkelen, trainen en testen van een AI-systeem in een AI-testomgeving, wordt een volledige en gedetailleerde beschrijving van het testproces en de testresultaten onderdeel van de technische documentatie.
+AI-systemen met een hoog risico kunnen onder reële omstandigheden buiten AI-testomgevingen voor regelgeving worden getest door aanbieders of potentiële aanbieders van in bijlage III vermelde AI-systemen met een hoog risico in overeenstemming met dit artikel en het in dit artikel bedoelde plan voor tests onder reële omstandigheden, onverminderd de verbodsbepalingen krachtens artikel 5 AI-Verordening.
+Aanbieders of potentiële aanbieders kunnen zelf of in samenwerking met een of meer gebruiksverantwoordelijken of potentiële gebruiksverantwoordelijken onder reële omstandigheden tests uitvoeren op in bijlage III bedoelde AI-systemen met een hoog risico op elk moment vóór het in de handel brengen of in gebruik nemen van het AI-systeem.
+Aanbieders of potentiële aanbieders mogen alleen testen onder reële omstandigheden als is voldaan aan alle volgende voorwaarden:
+a) de aanbieder of potentiële aanbieder heeft een plan voor tests onder reële omstandigheden opgesteld en ingediend bij de markttoezichtautoriteit in de lidstaat waar onder reële omstandigheden moet worden getest;
+b) de markttoezichtautoriteit in de lidstaat waar onder reële omstandigheden moet worden getest, heeft het testen onder reële omstandigheden en het plan voor tests onder reële omstandigheden goedgekeurd; indien de markttoezichtautoriteit binnen dertig dagen geen antwoord heeft gegeven, worden het testen onder reële omstandigheden en het plan voor tests onder reële omstandigheden geacht te zijn goedgekeurd; indien het nationale recht niet voorziet in een stilzwijgende goedkeuring, blijft het testen onder reële omstandigheden onderworpen aan een toestemming;
+c) de aanbieder of potentiële aanbieder, met uitzondering van aanbieders of potentiële aanbieders van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico op de gebieden rechtshandhaving, migratie, asiel en grenstoezichtsbeheer en AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III, heeft het testen onder reële omstandigheden geregistreerd overeenkomstig artikel 71, lid 4, met een Uniebreed uniek identificatienummer en de in bijlage IX gespecificeerde informatie; de aanbieder of potentiële aanbieder van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico op de gebieden van rechtshandhaving, migratie, asiel en grenstoezichtsbeheer, heeft het testen onder reële omstandigheden geregistreerd in het beveiligde niet-openbare gedeelte van de EU-databank overeenkomstig artikel 49, lid 4, punt d), met een Uniebreed uniek identificatienummer en de daarin gespecificeerde informatie; de aanbieder of potentiële aanbieder van in punt 2 van bijlage III bedoelde AI-systemen met een hoog risico heeft het testen onder reële omstandigheden geregistreerd overeenkomstig artikel 49, lid 5;
+d) de aanbieder of potentiële aanbieder die onder reële omstandigheden test, is in de Unie gevestigd of heeft een in de Unie gevestigde wettelijke vertegenwoordiger aangewezen;
+e) gegevens die zijn verzameld en verwerkt met het oog op het testen onder reële omstandigheden mogen alleen aan derde landen worden doorgegeven mits er passende en toepasselijke waarborgen uit hoofde van het Unierecht worden toegepast;
+f) het testen onder reële omstandigheden duurt niet langer dan nodig is om de doelstellingen ervan te verwezenlijken en in geen geval langer dan zes maanden, met een mogelijke verlenging van nog eens zes maanden indien de aanbieder of potentiële aanbieder de markttoezichtautoriteit daar vooraf van in kennis stelt, met een uitleg waarom een dergelijke verlenging noodzakelijk is;
+g) proefpersonen die onder reële omstandigheden worden getest en die tot kwetsbare groepen behoren vanwege hun leeftijd of handicap, worden naar behoren beschermd;
+h) indien een aanbieder of potentiële aanbieder het testen onder reële omstandigheden organiseert in samenwerking met een of meer gebruiksverantwoordelijken of potentiële gebruiksverantwoordelijken, worden zij geïnformeerd over alle aspecten van het testen die relevant zijn voor hun beslissing om deel te nemen, en krijgen zij de relevante gebruiksinstructies van het AI-systeem als bedoeld in artikel 13; de aanbieder of potentiële aanbieder en de gebruiksverantwoordelijke of potentiële gebruiksverantwoordelijke sluiten een overeenkomst waarin hun taken en verantwoordelijkheden worden gespecificeerd teneinde te waarborgen dat de bepalingen voor het testen onder reële omstandigheden uit hoofde van deze verordening en ander toepasselijk Unie- en nationaal recht worden nageleefd;
+i) de proefpersonen die onder reële omstandigheden worden getest, hebben geïnformeerde toestemming gegeven overeenkomstig artikel 61, of, in het geval van rechtshandhaving, indien het vragen om geïnformeerde toestemming het testen van het AI-systeem onder reële omstandigheden onmogelijk zou maken, de test zelf en het resultaat van de test onder reële omstandigheden hebben geen negatieve gevolgen voor de proefpersonen en hun persoonsgegevens worden na de uitvoering van test gewist;
+j) op het testen onder reële omstandigheden wordt daadwerkelijk toezicht gehouden door de aanbieder of potentiële aanbieder, alsook door gebruiksverantwoordelijken of potentiële gebruiksverantwoordelijken via personen die voldoende zijn gekwalificeerd op het relevante gebied en beschikken over de nodige capaciteiten, opleiding en bevoegdheden om hun taken uit te voeren;
+k) de voorspellingen, aanbevelingen of beslissingen van het AI-systeem kunnen daadwerkelijk worden teruggedraaid en genegeerd.
+Artikel 9(6 en 8) Verordening Artificiële Intelligentie
+Artikel 17(1 sub d) Verordening Artificiële Intelligentie
+Artikel 59(1 sub i) Verordening Artificiële Intelligentie
+Artikel 60 Verordening Artificiële Intelligentie
+Overweging 138 - 141 Verordening Artificiële Intelligentie
+AI-systeemAI-systeem voor algemene doeleindenAanbieder
+Zonder het testen van een AI-systeem, ontstaat het risico dat het AI-systeem inconsistent gaat presteren ten aanzien van het doel.
+<!-- list_maatregelen vereiste/aia-39-testen no-search no-onderwerp no-rol no-levenscyclus --
+ + + + + + + + + + + + + + + + + + + + + + + + +arc-01UitfaserenMonitoring en beheerOntwikkelenProjectleiderOntwikkelaarTransparantieData
+Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.
+Volgens de Archiefwet moeten overheden informatie bewaren. +Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes, tot stand zijn gekomen. +Informatie over en van algoritmes moet daarom op basis van de selectielijst bewaard en vernietigd worden.
+Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes aan hebben bijgedragen, tot stand zijn gekomen. +Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.
+aut-01Dataverkenning en datapreparatieOntwerpJuristDataGovernance
+Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken van algoritmes.
+Bepaalde type algoritmes worden ontwikkeld op basis van grote hoeveelheden data. +Deze data wordt gebruikt voor het trainen en testen van algoritmes. +Het gebruiken van deze data mag geen inbreuk maken op auteursrechten van diegene die deze rechten heeft. +Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten.
+Het niet voldoen aan het auteursrecht kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. +Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.
+avg-01ProbleemanalyseOntwerpDataverkenning en datapreparatieProjectleiderJuristPrivacy en gegevensbescherming
+De verwerking van persoonsgegevens moet rechtmatig plaatsvinden.
+De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op één van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. +Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. +Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.
+Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes moet worden onderzocht of dit kan worden gebaseerd op één van de verwerkingsgrondslagen. +Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. +Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.
+Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. +Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. +Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
+avg-02OntwerpDataverkenning en datapreparatieOntwikkelenUitfaserenOntwikkelaarBeleid en adviesPrivacy en gegevensbescherming
+Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
+Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. +Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. +Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
+In de context van algoritmes is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. +Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.
+Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. +De privacyrechten van betrokken worden hierdoor aangetast. +Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
+avg-03OntwerpDataverkenning en datapreparatieOntwikkelenJuristOntwikkelaarPrivacy en gegevensbescherming
+De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
+Het is van belang dat énkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. +Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. +Voor het ontwikkelen en gebruiken van algoritmes is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.
+Artikel 5 lid 1 onder c Algemene Verordening Gegevensbescherming
+Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.
+avg-04OntwerpDataverkenning en datapreparatieJuristOntwikkelaarFundamentele rechtenPrivacy en gegevensbescherming
+Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.
+Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme en voor het genereren van de benodigde output in balans is met het beoogde doel. +Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. +Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. +Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes moet worden toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.
+Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.
+avg-05Dataverkenning en datapreparatieOntwikkelaarProjectleiderPrivacy en gegevensbescherming
+De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.
+De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. +Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. +Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. +In de context van algoritmes is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.
+Artikel 5 lid 1 sub d Algemene Verordening Gegevensbescherming
+Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.
+avg-06OntwerpDataverkenning en datapreparatieJuristGovernancePrivacy en gegevensbescherming
+De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. +Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
+Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.
+Bij het verwerken van persoonsgegevens voor algoritmes moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. +De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. +Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
+Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
+avg-07ImplementatieMonitoring en beheerOntwikkelaarProjectleiderPrivacy en gegevensbeschermingTransparantie
+De verwerking van persoonsgegevens moet transparant zijn.
+Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). +Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. +In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. +Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes, zal deze informatie moeten worden verstrekt.
+Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.
+avg-08OntwerpDataverkenning en datapreparatieProjectleiderJuristBeleid en adviesPrivacy en gegevensbeschermingBias en non discriminatie
+Bijzondere categorieën van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.
+Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. +Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. +Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.
+Bijzondere categorieën persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (artikel +9 AVG en artikel 30 UAVG). +Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes en stelt daarmee beperkingen aan het mogen verwerken van deze categorieën persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.
+Het (onrechtmatige) verwerken van bijzondere categorieën persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.
+avg-09OrganisatieverantwoordelijkhedenOntwikkelenOntwikkelaarPrivacy en gegevensbeschermingData
+Betrokkenen kunnen een beroep doen op hun privacyrechten.
+Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. +Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig.
+Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. +Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.
+Artikel 15 - 21 Algemene Verordening Gegevensbescherming
+Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.
+avg-10OntwerpImplementatieProjectleiderBeleid en adviesPrivacy en gegevensbescherming
+Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft. Dit verbod geldt niet indien de geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang.
+Overheidsorganisaties zijn vaak belast met de uitvoering van wettelijke taken waarbij zij 'besluiten' moeten nemen, bijvoorbeeld als een burger vraagt om een uitkering, toeslag of een subsidie. +Hiervoor moeten gegevens worden verwerkt om te kunnen bepalen of een burger hier ook recht op heeft. Om deze gegevens snel en accuraat te verwerken, zetten overheidsorganisaties vaak algoritmes in. Deze gegevens worden dan vaak 'geautomatiseerd' door deze algoritmes verwerkt, zonder dat een ambtenaar dit werk controleert. +Soms wordt het proces voor het nemen van een besluit volledig geautomatiseerd ingericht. Denk hierbij aan het opleggen van een boete voor een snelheidsovertreding. Hierdoor kan in korte tijd en op een efficiënte wijze, een grote hoeveelheid besluiten worden genomen.
+Het geautomatiseerd verwerken van gegevens voor de totstandkoming van een besluit brengt risico's met zich mee. Zeker als hierbij persoonsgegevens van individuen worden verwerkt en er sprake is van profilering. Hierdoor ontstaat bijvoorbeeld het risico op discriminatie. Daarom is in art. 22 AVG het recht voor betrokkenen gecreëerd om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit.
+Dit verbod geldt voor besluiten die 'rechtsgevolgen' hebben voor een betrokkene, bijvoorbeeld een burger die een boete ontvangt voor de snelheidsovertreding, of hem anderzijds in aanmerkelijke mate treft. Het besluit mag in die gevallen niet geautomatiseerd worden genomen. Een individu moet namelijk kunnen rekenen op voldoende 'menselijke tussenkomst' bij de beoordeling van belangrijke beslissingen die deze persoon treffen.
+Bij het geautomatiseerd uitvoeren van processen dient altijd te worden voldaan aan de voorwaarden uit wetgeving, waaronder in het bijzonder de Algemene Verordening Gegevensbescherming (AVG) en de Algemene wet bestuursrecht(Awb). Bestuursorganen dienen dan ook te handelen conform de algemene beginselen van behoorlijk bestuur. Dit samenstel van regels moet de rechten van betrokkenen borgen.
+De Nederlandse wetgever heeft in artikel 40 lid 1 UAVG gebruik gemaakt van de mogelijkheid een uitzondering te maken op het verbod van art. 22 lid 1 AVG. In Nederland is geautomatiseerde besluitvorming toegestaan, als het gaat om besluitvorming waarbij menselijke tussenkomst geen toegevoegde waarde heeft. Dit is het geval als er sprake is van een gebonden karakter waarbij weinig of geen beoordelingsruimte is waarin tot een andere conclusie kan worden gekomen. Hierbij kan worden gedacht aan het toekennen van kinderbijslag of de hoogte van het recht op studiefinanciering. Deze uitzondering geldt niet voor 'profilering', tenzij er specifieke (sectorale) wetgeving het verbod opheft.
+Om deze uitzondering toe te kunnen passen, moet er op grond van artikel 22 AVG een 'passende maatregel' in de vorm van wetgeving zijn die personen voldoende bescherming biedt. In Nederland moet de Algemene wet bestuursrecht deze bescherming aan burgers bieden als bestuursorganen besluiten nemen. De Awb bevat vereisten en algemene beginselen waaraan besluitvorming moet voldoen.
+Bij het toepassen van geautomatiseerde besluitvorming, moet aan de hand van een DPIA wordt vastgesteld of er bij toepassing van de Awb daadwerkelijk voldoende bescherming wordt geboden. Een verwerkersverantwoordelijke zal dus, naast het toepassen van vereisten uit de AVG en specifieke (sectorale) wetgeving, beginselen uit de Awb moeten vertalen naar concrete maatregelen om geautomatiseerde besluitvorming op een rechtmatige wijze toe te passen. Hierbij kan worden gedacht aan het toepassen van motiveringsbeginsel of het zorgvuldigheidsbeginsel.
+Profilering is bijzonder gevoelig. Bij profilering gaat het om elke vorm van een geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Daarbij gaat het voornamelijk om het analyseren of verspellen van zaken als beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of een verplaatsingen.
+Volgens deze definitie gaat het om een verwerking door een computersysteem waarbij het systeem algemene aanname(s) toegepast in een concreet geval. Dit doet het door een individu, met gebruikmaking van diens persoonsgegevens, in te delen in een categorie(profiel). Een dergelijk categorie(profiel) wordt vaak in verband gebracht met bepaalde risico's, bijvoorbeeld het risico op het misbruiken van bepaalde publieke voorzieningen. De gevoeligheid is dat nog niet is vastgesteld dat, in dit voorbeeld, de betreffende natuurlijke persoon ook daadwerkelijk misbruik heeft gemaakt van bepaalde voorzieningen. Als daar wel automatisch gevolgen aan worden verbonden, ontstaat het risico op een onrechtmatige behandeling van een natuurlijk persoon.
+In deze context moet het begrip 'besluit' worden gehanteerd zoals dit is bedoeld in artikel 22 AVG. Het begrip 'besluit' krijgt in de AVG een ruimere betekenis dan het geval is in artikel 1:3 Algemene wet bestuursrecht (Awb). In de Algemene wet bestuursrecht moet er sprake zijn van een 'rechtsgevolg', maar onder het besluitbegrip van de AVG kunnen ook situaties vallen waarin een individu ‘slechts’ feitelijke gevolgen ervaart als een besluit wordt genomen. Daarmee biedt de AVG dus bescherming voor meerdere situaties.
+Het begrip 'rechtsgevolg' duidt op wijziging in de rechtspositie van betrokkene. Het betekent, juridisch uitgedrukt, een verandering in het geheel van de rechten, aanspraken, bevoegdheden en verplichtingen van één of meer natuurlijke personen of rechtspersonen. In deze context wijzigt de rechtspositie van een individu door een keuze van het systeem, bijvoorbeeld doordat deze een boete ontvangt. Rechtsgevolgen kwalificeren altijd als relevant.
+De Europese wetgever heeft weinig richting gegeven aan hoe dit begrip moet worden geïnterpreteerd. Er zijn wel aanknopingspunten om te duiden wanneer hier sprake van is. De EDPB spreekt van ernstige, aanzienlijke effecten, groot of belangrijk genoeg zijn om aandacht te verdienen. Dat is in ieder geval zo als het besluit het potentieel heeft om de omstandigheden, het gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie te leiden. Dit vraagt per geval om een analyse welke 'keuzes' van het systeem welke gevolgen hebben voor een individu en of die gevolgen rechtsgevolgen zijn of alleen een feitelijk gevolg. Zie voor een nadere toelichting hiervoor het advies van de Autoriteit Persoonsgegevens inzake geautomatiseerde selectietechnieken.
+Volledig geautomatiseerde vaststelling van een publiekrechtelijk besluit zoals een aanslag, een boete of een vergunning heeft rechtsgevolgen. Een beslissing dat een bepaalde aanvraag in aanmerking komt voor handmatige controle heeft op zichzelf geen rechtsgevolg - de rechtspositie van de betrokkene wijzigt (nog) niet. Wel moet beoordeeld worden of de betrokkene door dat besluit anderszins (dus feitelijk) in aanmerkelijke mate wordt getroffen.
+Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.
+avg-11OntwerpDataverkenning en datapreparatieBeleid en adviesProjectleiderJuristOntwikkelaarPrivacy en gegevensbescherming
+Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen
+Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden geïntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). +Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. +Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie.
+Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. +Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes.
+Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.
+avg-12OrganisatieverantwoordelijkhedenJuristOntwikkelaarPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid
+Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
+Voor de ontwikkeling en gebruik van algoritmes is data nodig. +Deze data kan persoonsgegevens bevatten die moeten worden beschermd. +De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en het algoritme voldoende te beschermen. +Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. +Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.
+Artikel 32 Algemene Verordening Gegevensbescherming|
+Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. +Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.
+avg-13OntwerpDataverkenning en datapreparatieVerificatie en validatieJuristProjectleiderPrivacy en gegevensbescherming
+Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
+Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. +Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. +Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
+Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden:
+Het is mogelijk dat algoritmes die niet aan één of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.
+Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.
+Het niet evalueren van de impact van het verwerking van persoonsgegevens in algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. +Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
+| Hulpmiddelen |
|---|
| Data Protection Impact Assessment |
| Toetsingskader Algoritmes Algemene Rekenkamer |
awb-01OntwerpOntwikkelenVerificatie en validatieProjectleiderBeleid en adviesFundamentele rechten
+Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.
+Het zorgvuldigheidsvereiste eist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en juist wordt genomen. +Dit vraagt onder meer om een zorgvuldig onderzoek naar informatie, feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming.
+Dit betekent dat bij de ontwikkeling en gebruik van algoritmes informatie moet worden vastgelegd over het algoritme. Hierbij kan worden gedacht aan: +- Dat het doel en eventuele subdoelen van het algoritme of AI-systeem helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome). +- Een bewuste afweging afmaken en vaststellen of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen. +- Dat de werking van het algoritme is onderzocht en is vastgesteld dat dit passend is om te gebruiken in een besluitvormingsproces.
+De werking van het algoritmes sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. +Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit.
+| id | Maatregelen |
|---|
awb-02OntwerpImplementatieMonitoring en beheerProjectleiderOntwikkelaarTransparantie
+Een besluit berust op een deugdelijke en kenbare motivering.
+De Awb eist dat een besluit een deugdelijke en kenbare motivering heeft. Dit geldt ook als algoritmes worden ingezet. Een betrokkene moet in staat zijn om te controleren of de overheid een besluit correct heeft genomen. Het motiveringsbeginsel draagt bij aan doelen als verantwoording kunnen afleggen en het bieden van rechtsbescherming. Het kan in samenhang worden gezien met transparantieverplichtingen die voortkomen uit de AVG.
+Het is van belang dat inzichtelijk wordt gemaakt in het besluit welke gegevens zijn verwerkt en welke 'aannames' een algoritme bevat. Dit speelt in het bijzonder als gebruik wordt gemaakt van geautomatiseerde besluitvormingsprocessen. Hierbij kan worden gedacht aan:
+Dat een besluit tot stand is gekomen met behulp van een algoritme.
+Van welke feiten het bestuursorgaan is uitgegaan.
+Welke gegevens zijn verwerkt.
+Welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen.
+Welke regels zijn gebruikt.
+Wat de hierachter is (kenbaarheid).
+Welke analytische technieken zijn gebruikt.
+Waarom deze regels en logica relevant zijn (uitleg)?
+Op welke wijze de regels en logica tot stand zijn gekomen en hoe deze regels worden gevalideerd.
+Een besluit moet informatie hierover bevatten om als om als voldoende draagkrachtig gemotiveerd te gelden. +Het motiveringsbeginsel op grond van de Awb is beperkt tot besluiten in de zin van de Awb.
+Het is onduidelijk op wat voor manier het algoritmes heeft bijgedragen aan de totstandkoming van een besluit.
+bio-01OrganisatieverantwoordelijkhedenBeleid en adviesOntwikkelaarTechnische robuustheid en veiligheid
+Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.
+Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. +In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. +De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn.
+Algoritmes en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. +Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.
+Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.
+bzk-01ImplementatieMonitoring en beheerProjectleiderTransparantie
+Bestuursorganen publiceren algoritmes met impact en hoog-risico-AI-systemen in het Nederlandse Algoritmeregister.
+Het publiceren van algoritmes draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes worden gebruikt door de overheid. +Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. +Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.
+Door het niet publiceren van impactvolle algoritmes of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologieën die hen kunnen raken. +Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritmes en daardoor in hun rechten worden beperkt.
+| Hulpmiddelen |
|---|
| Algoritmeregister |
dat-01Dataverkenning en datapreparatieJuristData
+Het is verboden om zonder goedkeuring van de producent een databank op te vragen en/of te hergebruiken.
+De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. +Degene die een substantiële financiële en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. +Bij verkrijgen gaat het om "het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen". +Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).
+Voor het ontwikkelen van algoritme is data nodig. +De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.
+Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes, wordt het databankenrecht geschonden van de eigenaar. + De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.
+grw-01ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerProjectleiderJuristFundamentele rechten
+Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes.
+Mensenrechten gelden voor alle mensen op de wereld. +De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. +In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. +Deze rechten heten ook wel ’grondrechten’. +Een bekend voorbeeld is artikel 1 van de Grondwet. +Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.
+Mensenrechten kunnen soms onder druk komen te staan. +De inzet van algoritmes kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. +Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.
+Grondrechten kunnen worden geraakt door de inzet van algoritmes met eventuele schadelijke gevolgen voor betrokkenen.
+| Hulpmiddelen |
|---|
| Impact Assessment Mensenrechten en Algoritmes |
| The Fairness Handbook |
| Handreiking non-discriminatie by design |
| Discriminatie door risicoprofielen - Een mensenrechtelijk toetsingskader |
grw-02Dataverkenning en datapreparatieVerificatie en validatieMonitoring en beheerProjectleiderBias en non discriminatie
+Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. +Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
+Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes. +Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. +Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. +Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.
+Het risico bestaat dat het model onwenselijke systematische afwijkingen creëert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.
+Overzicht van de belangrijkste vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.
+De vereisten zijn gebaseerd op de wetten en regels voor het uitvoeren van wettelijke taken, zoals de:
+Bij elke vereiste staat de bron er duidelijk bij.
+Let op!
+Het Algoritmekader biedt een overzicht van de belangrijkste vereisten. Dit is niet volledig. Sectorspecifieke wetgeving is bijvoorbeeld niet meegenomen. Hierdoor kan het zijn dat er meer regelgeving van geldt voor jouw toepassing.
+Welke vereisten gelden voor jouw organisatie, hangt af van:
+++Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.
+
Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.
+Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
+ + + + + + + + + + + + + + + + + + + + + + + + +woo-01OrganisatieverantwoordelijkhedenJuristProjectleiderTransparantie
+Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. +Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.
+Bij het ontwikkelen en gebruiken van algoritmes kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. +Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. +De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. +Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). +De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. +De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). +Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).
+In de context van het ontwikkelen en gebruiken van algoritmes is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. +Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.
+Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.
+